Information Security Policy IPS:2.1 Chính sách an toàn thông tin ISP là gì?Information Security Policy ISP: là một tập các quy tắc, hướng dẫn mà tổ chức đưa ra nhằmđảm bảo tính an toàn h
Ngành nghề CNTT
Môi trường làm việc
Đa dạng với nhu cầu nhân lực rất lớn.
Công ty chuyên tin học (IT) hoặc các công ty không chuyên (none_IT).
CNTT có mặt ở khắp nơi, hiện diện trong mọi lĩnh vực của đời sống xã hội.
Là ngành được đầu tư và chú trọng ở mọi quốc gia, trong đó có Việt Nam.
Các nghề trong ngành CNTT
Lập trình viên, Chuyên gia phân tích hệ thống (System Analyst), Quản trị CSDL (Database Administrator), Nhà quản lý hệ thống thông tin 9Information System Manager), Chuyên gia mật
Too long to read on your phone? Save to read later on your computer
Save to a Studylist mã (Crytographer), Quản trị mạng (Network Administrator), Kỹ sư phần mêm (SoftwareEngineer), Quản trị Web (Webmaster), Kỹ thuật viên máy tính, Chuyên viên viết tài liệu kỹ thuật(Technical Writer)
Tố chất cần có để làm việc trong ngành CNTT
Đam mê công việc; Thông minh và có óc sáng tạo; Tính chính xác trong công việc; Kiên trì,nhẫn nại; Khả năng làm việc với áp lực lớn; Ham học hỏi, trau dồi kiến thức; Trình độ ngoại ngữ; Khả năng làm việc nhóm.
Các vấn đề xã hội nào liên quan đến ngành nghề CNTT bạn cần nắm rõ
Chính sách bảo mật và an toàn thông tin.
Các quy định về pháp lý/ luật: luật CNTT, sở hữu trí tuệ, giao dịch thương mại điện tử, an ninh mạng.
Tội phạm máy tính và các vấn đề pháp lý.
Vai trò và tác động của khoa học máy tính đến các vấn đề xã hội, môi trường phát triển kinh tế. Đạo đức (qui tắc ứng xử) nghề nghiệp.
Xu hướng mới về các ngành nghề CNTT.
Tại sao rất nhiều sinh viên sau khi tốt nghiệp thì thất nghiệp?
Theo thống kê của Bộ GD&ĐT, Bộ LĐ-TB&XH vào quý 1/2016 thì cả nước có 225.000 người có trình độ cử nhân, thạc sĩ rơi vào tình trạng thất nghiệp và con số này vẫn tiếp tục tăng nhanh chóng Đây là một cơn báo động mạnh đến với ngành giáo dục Việt Nam hiện nay và cũng là nỗi ám ảnh của hàng ngàn sinh viên sau niềm vui tốt nghiệp sẽ phải đối mặt Có rất nhiều lý do để giải thích cho thực trạng đáng buồn này.
Chất lượng giáo dục, đào tạo; Đào tạo chưa gắng với nhu cầu xã hội.
Sự phát triển công nghệ và thay đổi cấu trúc ngành nghề; Sự gia tăng dân số và nguồn lực; Các vấn đề khác. mối quan hệ và tiền tệ; sức mạnh của đồng tiền và địa vị Định hướng không rõ ràng; Thiếu khả năng thực; Thiếu kỹ năng cơ bản.
Câu hỏi: Nêu ra tầm quan trọng của ngành nghề CNTT đối với tất cả các lĩnh vực trong XH:
Công nghệ thông tin đóng vai trò đặc biệt quan trọng lĩnh vực y khoa Hầu hết các thiết bị trong ngành y tế đều được lập trình bằng công nghệ thông tin nhằm theo dõi tình trạng sức khỏe của bệnh nhân, từ đó cung cấp thông tin đầy đủ, hữu ích cho việc điều trị
Cũng nhờ ứng dụng công nghệ thông tin vào hoạt động quản lý, thủ tục khám chữa bệnh hiện nay cũng trở nên đơn giản hơn rất nhiều Mỗi bệnh nhân đăng ký khám chỉ cần trình thẻ BHYT và CMND/CCCD, chờ nhập dữ liệu vào máy tính và ngồi chờ đến lượt, vô cùng thuận tiện và nhanh chóng.
Công nghệ thông tin phát triển góp phần giúp hoạt động giáo dục đạt hiệu quả cao hơn Nhiều công nghệ tiên tiến được ứng dụng triệt để nhằm đáp ứng tốt nhất cho công tác giảng dạy của giáo viên Đồng thời, sự phổ biến kiến thức trên các nền tảng số giúp giáo viên và học sinh dễ dàng tiếp cận thông tin bổ ích, phục vụ tốt cho nhu cầu dạy và học Đặc biệt trong bối cảnh đại dịch Covid-19 khiến nhiều trường học phải đóng cửa, học sinh không thể đến trường, vai trò của ngành Công nghệ thông tin lại được thể hiện rõ rệt Thông qua các hình thức dạy học trên nền tảng số, học sinh có thể học ở bất cứ đâu, bất cứ khu vực nào.
Cho dù ở cách xa nhau thì mọi người vẫn có thể tiếp thu kiến thức một cách linh động nhất
Việc ứng dụng công nghệ thông tin thông qua các hình thức trưng bày, triển lãm trực tuyến không chỉ hữu hiệu trong thời gian giãn cách xã hội vì dịch bệnh, mà còn là giải pháp lâu dài trong phát triển văn hóa thời công nghệ số 3D Tour của Bảo tàng Mỹ Thuật Việt Nam là một minh chứng thành công trong áp dụng công nghệ thông tin vào văn hóa, nghệ thuật.
Chỉ cần một chiếc điện thoại thông minh có kết nối internet là người dùng có thể thưởng thức các tác phẩm nghệ thuật với thuyết minh rõ ràng Đặc biệt, các buổi triển lãm, trưng bày online giúp quảng bá văn hóa Việt Nam đến bạn bè quốc tế trong bối cảnh nhiều quốc gia vẫn chưa mở cửa đường bay đến với nước ta
Ngoài ra, liveshow âm nhạc trực tuyến cũng trở thành xu hướng thưởng thức âm nhạc mới trong thời đại 4.0 Không giới hạn quốc gia, không cần ra khỏi nhà và không phân biệt điều kiện sống, tất cả mọi người đều có thể thưởng thức âm nhạc chất lượng cao với các chương trình được dàn dựng công phu và giọng ca hàng đầu Đây chính là sự thay đổi ngoạn ngục trong thưởng thức âm nhạc và hứa hẹn trở thành xu hướng nghe nhạc của tương lai.
Vai trò của ngành Công nghệ thông tin đặc biệt quan trọng đối với các doanh nghiệp Nhờ có công nghệ thông tin mà hoạt động giao dịch, kết nối và kiểm soát hàng hóa giữa doanh nghiệp và khách hàng trở nên thuận lợi hơn rất nhiều Ví dụ, thay vì thanh toán bằng tiền mặt như trước đây, khách hàng có thể thực hiện bằng cách giao dịch điện tử
Bên cạnh đó, công nghệ thông tin còn giúp việc quản lý của doanh nghiệp trở nên dễ dàng hơn Phần mềm khai báo thuế, phần mềm kế toán, phần mềm quản lý nhân sự, là những phần mềm không thể thiếu trong các doanh nghiệp hiện nay.
Hiện nay, chính phủ Việt Nam cũng xem việc ứng dụng công nghệ thông tin là yếu tố cốt lõi trong việc thúc đẩy cải cách hành chính từ trung ương đến địa phương, góp phần nâng cao hiệu quả quản lý và điều hành của từng cơ quan Nhà nước
Ngoài ra, công nghệ thông tin có rất nhiều tiềm năng to lớn trong việc đảm bảo an ninh quốc phòng cũng như cơ sở hạ tầng Đây còn là một trong những động lực thúc đẩy sự phát triển kinh tế, văn hóa, giáo dục, xã hội của đất nước.
CHÍNH SÁCH AN TOÀN THÔNG TIN (INFORMATION
An toàn thông tin (Information Security)
1.1 Thông tin (Information) là gì?
Thông tin là một tài sản, giống như các tài sản kinh doanh quan trọng khác, có giá trị đối với một tổ chức và do đó cần được bảo vệ một cách thích hợp.
Thông tin có thể được: Tạo, lưu, xóa, xử lý, chuyển giao, sử dụng (cho đúng mục đích, sai mục đích), hư hỏng, mất, đánh cắp, in hoặc viết lên giấy, lưu trữ chuyển giao bằng cách đăng lên hoặc dùng các phương tiện điện tử, đưa vào các video, hiển thị/xuất bản,…
1.2 An toàn thông tin (Information Security) là gì?
Bảo vệ thông tin từ hàng loạt các mối đe dọa; Đảm bảo tính liên tục kinh doanh; Giảm thiểu tổn thất tài chính; Tối ưu hóa lợi tức đầu tư; Tăng cơ hội kinh doanh.
ISO 27002:2005 định nghĩa Information Security là phải duy trì:
Thông tin chỉ được phép truy cập (đọc) bởi những đối tượng (người, chương trình máy tính,…) được cấp phép (Ai có thể thấy được thông tin?)
Thông tin chỉ được phép xóa hoặc sửa bởi những đối tượng được phép và phải đảm bảo rằng thông tin vẫn còn chính xác khi được lưu trữ hay truyền đi (Thông tin có đúng không?)/ thông tin có thể được truy xuất bởi những người được phép vào bất cứ khi nào họ muốn (thông tin sẳn sàng và dùng được không?).
Khi xây dựng hệ thống thông tin thì cần cân bằng 3 mục tiêu này để đảm bảo tính an toàn cho thông tin.
Uy tín bị mất; Tổn thất về tài chính; Mất mát tài sản trí tuệ; Vi phạm pháp luật dẫn đến hàng động pháp lý (luật CNTT); Mất đi lòng tin cậy của khách hàng;
Chi phí gián đoạn kinh doanh.
1.3 Lổ hỏng, mối đe dọa, rủi ro: một điểm yếu trong tổ chức, hệ thống IT, hoặc mạng mà có thể được khám phá bởi mối đe dọa một cái gì đó mà có thể gây thiệt hại đến tổ chức, hệ thống IT hoặc hệ thống mạng một khả năng mà một mối đe dọa khai thác lỗ hỏng trong tài sản và gây ra nguy hại hoặc mất mát đến tài sản.
Thread (mối đe dọa) xuất phát từ đâu? Nhân viên; Các bộ phận bên ngoài; Sự thiếu nhận thức về các vấn đề an toàn; Sự phát triển việc kết nối mạng và các máy tính phân tán; Sự phát triển trong mức độ phức tạp và hiệu suất của các công cụ tấng công và virus; Thảm họa tự nhiên như cháy, lũ lụt, động đất,…
Information Security Policy (IPS)
2.1 Chính sách an toàn thông tin (ISP) là gì?
Information Security Policy (ISP): là một tập các quy tắc, hướng dẫn mà tổ chức đưa ra nhằm đảm bảo tính an toàn hệ thống thông tin và miễn nhiểm chống lại tấng công nguy hiểm.
ISP cung cấp một môi trường để quản lý thông tin một cách an toàn trong toàn tổ chức.
ISP được viết cho tất cả các cấp nhân viên khác nhau.
ISP gồm các quy tắc chung về tất cả các chủ đề có liên quan đến an ninh thông tin và sử dụng máy tính hoặc các quy tắc riêng biệt về các chủ đề khác nhau
Ví dụ: quy tắc dùng e-mail, quyền hạn truy xuất dữ liệu, quy trình backup dữ liệu,
Các tổ chức đưa ra các ISP bởi nhiều lý do khác nhau:
Thiết lập một cách tiếp cận chung đối với an ninh thông tin.
Phát hiện và ngăn chặn sự thoả hiệp của an ninh thông tin như lạm dụng dữ liệu, mạng, hệ thống máy tính và các ứng dụng. Để bảo vệ danh tiếng của công ty đối với trách nhiệm đạo đức và pháp lý của công ty.
Thực hiện các quyền của khách hàng; Cung cấp cơ chế hiệu quả để đáp ứng các khiếu nại và thắc mắc liên quan đến sự không tuân thủ chính sách thực tế hoặc không nhận thức được là một cách để đạt được mục tiêu này.
Các dữ liệu; Chương trình; Hệ thống; Phương tiện; Cấu trúc hạ tầng cơ sở; Các người dùng, các bên tham gia thứ 3; Các nhóm bên ngoài (third parties) tổ chức;
Không có trường hợp ngoại lệ.
ISP được dùng để hỗ trợ việc bảo vệ, điều khiển và quản lý các tài sản thông tin của tổ chức.
Lưu trữ trong các CSDL, trong máy tính ở các đĩa cứng cố định.
Truyền qua mạng nội bộ và công cộng.
In hoặc viết tay trên giấy, bảng trắng
Gửi qua fax, telex hoặc các phương tiện truyền thông khác.
Lưu trữ trên phương tiện di động như CD-ROM, đĩa cứng, băng và các phương tiện tương tự khác.
Tổ chức trên phim, các trang trình chiếu, máy chiếu, sử dụng phương tiện nghe nhìn và âm thanh.
Phát biểu trong các cuộc gọi điện thoại và các cuộc họp được chuyển tải bằng bất kỳ phương pháp nào khác.
2.4 Tầm quan trọng của ISP:
Giảm thiểu nguy cơ rò rỉ dữ liệu hoặc mất mát.
Bảo vệ tổ chức khỏi những người dùng nội bộ và bên ngoài "độc hại“.
Thiết lập các hướng dẫn, thực tiễn tốt nhất về sử dụng và đảm bảo tuân thủ đúng.
Thông báo nội bộ và bên ngoài thông tin đó là tài sản, tài sản riêng của tổ chức, và được bảo vệ khỏi bị truy cập trái phép, sửa đổi, tiết lộ và hủy hoại. Đẩy mạnh lập trường chủ động cho tổ chức khi có vấn đề pháp lý phát sinh:
Cung cấp hướng nâng cấp các tiêu chuẩn an ninh trong và ngoài tổ chức.
2.5 Ai là người dùng ISP?
Người quản lý – tất cả các cấp độ Nhân viên kỹ thuật – người quản trị hệ thống, … Người dùng cuối – tất cả các người dùng dịch vụ của hệ thống.
2.6 Các bước triển khai ISP:
Thu thập thông tin cơ bản Thực hiện đánh giá nguy cơ Tạo bức tranh tổng quan chính sách Triển khai kế hoạch bảo toàn thông tin Triển khai chính sách an toàn thông tin Thực hiện chính sách và chuẩn Nhận thức và huấn luyện Theo dõi sự hài long Đánh giá tính hiệu lực Hiệu chỉnh chính sách.
2.7 Xác định vấn đề cần Policy:
Các nguồn tài nguyên và thông tin cần truy suất có thẩm quyền; Không tiết lộ hoặc không được phép tiết lộ thông tin; Quy trình cần tuân theo; Lỗi và lỗi người dùng.
Quan tâm đến an toàn dữ liệu:
Chính sách: Cách dữ liệu được xử lý như thế nào và cách duy trì tính bí mật và toàn vẹn của dữ liệu; Sự tồn tại của dữ liệu bên thứ ba; Dữ liệu cá nhân; Dữ liệu nhân sự; Bảo vệ sự riêng tư; Chi phí giấy phép phần mềm.
Dữ liệu nào cần sao lưu; Tần suất sao lưu; Kiểm soát các quy trình sao lưu; Lưu trữ dữ liệu tại chỗ hoặc ngoài nơi lưu trữ dữ liệu.
Xem xét các ổ cứng cũ; Dumpster diving: kỹ thuật được dùng để lấy ra thông tin từ các dữ liệu đã bị xóa.
Ai là chủ quyền đối với các tài sản trí tuệ; Ghi nhãn để thực thi quyền sở hữu trí tuệ.
Tại sao nhân viên ngành CNTT nắm rõ về Information Security Policy tại nơi làm việc?
Là một nhân viên cần nên nắm rõ những chính sách an toàn thông tin tại nơi làm việc của mình nhằm bảo vệ và tránh những mối nguy hiểm về thông tin bảo mật: Bảo vệ khỏi gian lận;
Bảo vệ khỏi vi phạm dữ liệu; Bảo vệ bí mật ngành có thể giúp các đối thủ cạnh tranh; Bảo vệ tài sản kỹ thuật số và tài sản trí tuệ; Bảo vệ thương hiệu khỏi thiệt hại về danh tiếng; Đảm bảo hoạt động kinh doanh liên tục; Bảo vệ danh tiếng của công ty đối với trách nhiệm đạo đức và pháp lý;
Thiết lập cách tiếp cận chung đối với an ninh thông tin; Phát hiện và ngăn chặn sự thỏa hiệp về an ninh thông tin như lạm dụng dữ liệu, mạng, hệ thống máy tính và các ứng dụng; Đảm bảo bảo mật thông tin toàn diện cho doanh nghiệp.
Hãy viết một chính sách an toàn thông tin dành cho các sinh viên có tham gia sử dụng các trang thiết bị, phần mềm ở phòng thực hành, chính sách cài đặt các phần mềm ứng dụng, phần phòng chống mã độc cho máy tính
Ngoài việc phục vụ các lớp học theo thời khóa biểu,phòng máy tính còn phục vụgiảng viên, nhân viên và sinh viên theo việc làm việc sau: Từ 6:30-17:40 từ thứ Hai đến thứ Sáu, từ 6:30- 11:30 ngày thứ bảy và chủ nhật
Lưu ý: Để phù hợp với lịch học, học kỳ mùa hè phòng máy mở cửa từ 6:30 Giảng viên, nhân viên và sinh viên muốn sử dụng phòng máy tính ngoài các giờ quyđịnh trên cần đề nghị và được chấp nhận của Người Quản Lý Hành Chánh Giám Thị Phòng Máy.
Trong các giờ làm việc và giờ mở cửa phòng máy luôn có giám thị trực để quản lý phòng máy theo đúng Nôi Quy và hỗ trợ về kỹ thuật cho người sử dụng.
Người sử dụng phải đeo thẻ nhân viên hoặc sinh viên mới được vào phòng máy.
Nghiêm cấm đưa người lạ (không phải là cán bộ, học sinh sinh viên) vào phòng máy.Quy Định Sử Dụng Máy Tính.
Máy tính được trang bị phục vụ cho công tác giảng dạy, thực hành và học tập của giảng viên, nhân viên và sinh viên, nếu sử dụng không nhằm mục đích này là vi phạm Nội Quy Nghiêm cấm người sử dụng truy cập vào các website không lành mạnh, khiêu dâm, phản động, không được chơi game, chat trong phòng máy.
Người sử dụng máy tính không được phép tự ý di chuyển các thiết bị trong phòng Khi gặp sự cố hoặc cần được hỗ trợ, người sử dụng không được tự ýtháo, lắp các thiết bị mà liên hệ hỗ trợ với cán bộ trực phòng máy hoặc nhân viên quản trị mạng ( Lab administrator or networking supporter).
Người sử dụng máy tính phải tắt máy tính trước khi rời phòng.
Người sử dụng phải có thái độ đúng mực và thực hiện các yêu cầu của nhân viên giám thị phòng máy đang thực hiện nhiệm vụ.
Nghiêm cấm việc mang đồ ăn, thức uống vào phòng máy.
Người sử dụng phòng máy có trách nhiệm bảo vệ và giữ gìn phòng máy luôn được sạch sẽ,ngăn nắp.
Người sử dụng cần giữ trật tự, im lặng trong phòng máy, không gây ồn ào làm ảnh hưởng môi trường học tập, làm việc trong phòng
Người sử dụng phòng máy vi phạm Nội Quy sẽ nhận các hình thức kỷ luật từ nhắc nhở, cảnh cáo, cấm sử dụng phòng máy đến buộc nghỉ việc, nghỉ học tùy theo mức độ vi phạm.
Sử dụng chung một phần mềm ứng dụng cho cả hệ thống máy tính, dự phòng một phần mềm ứng dụng khác cho trường hợp cần thiết.
Sinh viên không được tự ý cài đặt phần mềm ứng dụng phòng mã độc khác khi chưa được sự đồng ý của giám sát hay giảng viên.
Dành thời gian để cho sinh viên và giảng viên tìm hiểu về các phần mềm ứngdụng phòng chống mã độc, nâng cao hiểu biết.
Theo dõi và cập nhật phần mềm ứng dụng chống mã độc một cách nhanh chóng nhất có thể.
Tránh trường hợp để phần mềm bị chậm cập nhật so với hiện tại.
Trình bày và giải thích được ít nhất 3 lý do tại sao một doanh nghiệp cần có một ISP?
Trình bày và giải thích được ít nhất 3 lý do tại sao một doanh nghiệp cần có một ISP
Lí do 1: ISP phát hiện và ngăn chặn sự thoả hiệp về an ninh thông tin như lạm dụng dữ liệu, mạng, hệ thống máy tính và các ứng dụng,… Cài đặt hệ thống ISP sẽ giúp doanh nghiệp hạn chế việc sử dụng dữ liệu doanh nghiệp vào các mục đích cá nhân không cần thiết, bảo đảm tài nguyên doanh nghiệp.
Lí do 2: ISP bảo vệ danh tiếng của công ty đối với trách nhiệm đạo đức và pháp lý, Khi có hệ thống chính sách an toàn thông tin, doanh nghiệp sẽ theo đó mà chấp hành, tránh ai lệch ảnh hưởng đến đạo đức kinh doanh và hệ thống pháp lý.
Lí do 3: ISP đảm bảo bảo mật thông tin toàn diện cho doanh nghiệp, Khi có hệ thống ISP thì các quyền truy cập hệ thống như email, dữ liệu được kiểm soát từ đó đảm bảo giữ kín thông tin quan trọng của doanh nghiệp không rò rỉ ra bên ngoài.
Hãy viết một chính sách sử dụng Wifi trong một phòng ban có khoảng 20 nhân viên
Nhân viên trong công ty được khuyến khích sử dụng internet nhằm phục vụ các mục đích sau:
Truy cập tài khoản vào nền tảng công nghệ tích hợp các phần mềm quản lý doanh nghiệp.
Truy cập vào các website cần thiết để hoàn thành nhiệm vụ được giao.
Tìm kiếm, tra cứu thông tin nhằm cải thiện chất lượng công việc. Để truy cập tài khoản mạng xã hội cá nhân, với điều kiện tuân thủ quy định sử dụng mạng xã hội của công ty.
Tuân thủ chặt chẽ chính sách bảo mật dữ liệu của công ty.
Sử dụng mật khẩu mạnh để đăng nhập vào hệ thống phần mềm của công ty, email, các website và dịch vụ liên quan đến công việc Giữ an toàn các mật khẩu đó.
Chỉ sử dụng các thiết bị an toàn để đăng nhập vào tài khoản công ty.
Cẩn trọng khi tải xuống/mở/giải nén, các tệp và phần mềm có nguồn gốc không rõ ràng.
Nếu không chắc chắn liệu một tệp có an toàn hay không, hãy liên hệ với IT helpdesk hoặc chuyên viên an ninh mạng.
HỆ THỐNG QUẢN LÝ AN TOÀN THÔNG TIN (INFORMATION
Hệ thống quản lý ATTT (ISMS)
Bên cạnh những rủi ro về ATTT do bị tấn công phá hoại có chủ đích, tổ chức cũng có thể gặp phải những rủi ro đối với thông tin nếu: Các quy trình quản lý, vận hành không đảm bảo; Việc quản lý quyền truy cập chưa được kiểm tra và xem xét định kỳ; Nhận thức của nhân viên trong việc sử dụng và trao đổi thông tin chưa đầy đủ…
Do đó, ngoài các biện pháp kỹ thuật, tổ chức cần xây dựng và áp dụng các chính sách, quy định, quy trình vận hành phù hợp để giảm thiểu rủi ro
Tùy vào quy mô và lĩnh vực hoạt động, mỗi tổ chức có thể có các phương thức tiếp cần khác nhau để xây dựng hệ thống quản lý ATTT phù hợp. là công cụ để các nhà lãnh đạo quản lý thực hiện giám sát, quản lý hệ thống thông tin, tăng cường mức độ an toàn, bảo mật, giảm thiểu rủi ro cho hệ thống thông tin, đáp ứng được mục tiêu của doanh nghiệp, tổ chức.
Thiết kế và triển khai Hệ thống ISMS phụ thuộc vào mục tiêu, các yêu cầu về ATTT cần phải đạt được, các quy trình đang vận hành, quy mô và cơ cấu của tổ chức
Hệ thống ISMS cũng đòi hỏi phải luôn được xem xét, cập nhật để phù hợp với những thay đổi của tổ chức và nâng cao mức độ an toàn với Hệ thống lưu trữ, xử lý thông tin
Tổ chức cũng cần cân nhắc chi phí đầu tư xây dựng và triển khai ISMS phù hợp với nhu cầu đảm bảo ATTT.
Sau khi xây dựng hệ thống ISMS thì doanh nghiệp sẽ nhận được Chứng chỉ An toàn bảo mật thông tin.
Việc áp dụng ISMS là quyết định mang tính chiến lược của một tổ chức Hệ thống quản lý an toàn thông tin (ISMS) duy trì tính bảo mật, tính toàn vẹn và tính sẵn sàng của thông tin bằng cách áp dụng một quá trình quản lý rủi ro và mang lại sự tin cậy cho các bên quan tâm rằng các rủi ro đã được quản lý đầy đủ.
Lợi ích khi áp dụng ISMS
Đảm bảo ATTT của tổ chức, đối tác và khách hàng, giúp cho hoạt động của tổ chức luôn thông suốt và an toàn.
Giúp nhân viên tuân thủ việc đảm bảo ATTT trong hoạt động nghiệp vụ thường ngày; Các sự cố ATTT do người dùng gây ra sẽ được hạn chế tối đa khi nhân viên được đào tạo, nâng cao nhận thức ATTT.
Giúp hoạt động đảm bảo ATTT luôn được duy trì và cải tiến Các biện pháp kỹ thuật và chính sách tuân thủ được xem xét, đánh giá, đo lường hiệu quả và cập nhật định kỳ. Đảm bảo hoạt động nghiệp vụ của tổ chức không bị gián đoạn bởi các sự cố liên quan đến ATTT.
Nâng cao uy tín của tổ chức, tăng sức cạnh tranh, tạo lòng tin với khách hàng, đối tác, thúc đẩy quá trình toàn cầu hóa và tăng cơ hội hợp tác quốc tế.
Tiêu chuqn ISO/IEC 27001:2013
là tiêu chuẩn quốc tế về Hệ thống quản lý an ninh thông tin (ISMS)
ISO/IEC 27001 là tiêu chuẩn quy định các yêu cầu đối với việc xây dựng và áp dụng hệ thống quản lý ATTT nhằm đảm bảo đối với tài sản thông tin của các tổ chức.
Là một tiêu chuẩn trong bộ tiêu chuẩn ISO/IEC 27000 về quản lý ATTT, được xây dựng dựa trên các tiêu chuẩn về quản lý an toàn thông tin BS 7799 của Viện Tiêu chuẩn Anh (British Standards Institute - BSI)
Năm 2005, tiêu chuẩn này được ban hành lần 1 tiêu chuẩn ISO/IEC 27001:2005, đến năm 2013 ban hành tiêu chuẩn lần 2 ISO/IEC 27001:2013. Đối tượng áp dụng: cho nhiều loại hình tổ chức (thương mại, cơ quan nhà nước, phi lợi nhuận ) Đặc biệt là các tổ chức mà các hoạt động phụ thuộc nhiều vào CNTT, máy tính, mạng máy tính, sử dụng CSDL như ngân hàng, tài chính, viễn thông, sẽ đem lại sự tin tưởng của các bên liên quan như đối tác, khách hàng, của tổ chức.
Doanh nhiệp sẽ được cấp
Tiêu chuẩn này được xây dựng nhằm cung cấp các yêu cầu cho việc thiết lập, triển khai, duy trì và cải tiến liên tục Hệ thống quản lý an toàn thông tin (ISMS)
ISO/IEC 27001 đặc tả các yêu cầu cần thiết cho việc thiết lập, vận hành và giám sát hoạt động của ISMS; đưa ra các nguyên tắc cơ bản cho việc khởi tạo, thực thi, duy trì và cải tiến ISMS
Tiêu chuẩn này đưa ra các quy tắc bảo mật thông tin và đánh giá sự tuân thủ đối với các bộ phận bên trong tổ chức, xây dựng các yêu cầu bảo mật thông tin mà đối tác, khách hàng cần phải tuân thủ khi làm việc với tổ chức.
Cấu trúc Tiêu chuqn ISO 27001: 2013
Gồm có 07 điều khoản chính (từ phần 4 đến phần 10 của Tiêu chuẩn).
Các điều khoản đưa ra yêu cầu bắt buộc về các công việc cần thực hiện trong việc thiết lập, vận hành, duy trì, giám sát và nâng cấp Hệ thống ISMS của các tổ chức
Bất kỳ vi phạm nào của tổ chức so với các quy định nằm trong 07 điều khoản này đều được coi là không tuân thủ theo tiêu chuẩn. Điều khoản 4 - Phạm vi tổ chức: Đưa ra các yêu cầu cụ thể để tổ chức căn cứ trên quy mô, lĩnh vực hoạt động và các yêu cầu, kỳ vọng của các bên liên quan thiết lập phạm vi Hệ thống quản lý ATTT phù hợp Điều khoản 5 - Lãnh đạo: Quy định các vấn đề về trách nhiệm của Ban lãnh đạo mỗi tổ chức trong Hệ thống ISMS, bao gồm các yêu cầu về sự cam kết, quyết tâm của Ban lãnh đạo trong việc xây dựng và duy trì hệ thống; các yêu cầu về việc cung cấp nguồn lực, tài chính để vận hành hệ thống Điều khoản 6 - Lập kế hoạch: Tổ chức cần định nghĩa và áp dụng các quy trình đánh giá rủi ro, từ đó đưa ra các quy trình xử lý Điều khoản này cũng đưa ra các yêu cầu về việc thiết lập mục tiêu ATTT và kế hoạch để đạt được mục tiêu đó. Điều khoản 7 - Hỗ trợ: yêu cầu đối với việc tổ chức đào tạo, truyền thông, nâng cao nhận thức cho toàn thể cán bộ, nhân viên của tổ chức về lĩnh vực ATTT và ISMS, số hóa thông tin. Điều khoản 8 - Vận hành hệ thống: Tổ chức cần có kế hoạch vận hành và quản lý để đạt được các mục tiêu đã đề ra Đồng thời cần định kỳ thực hiện đánh giá rủi ro ATTT và có kế hoạch xử lý. Điều khoản 9 - Đánh giá hiệu năng hệ thống: Quy định trách nhiệm của Ban lãnh đạo trong việc định kỳ xem xét, đánh giá Hệ thống ISMS của tổ chức Phần này đưa ra yêu cầu đối với mỗi kỳ xem xét hệ thống, đảm bảo đánh giá được toàn bộ hoạt động của hệ thống, đo lường hiệu quả của các biện pháp thực hiện và có kế hoạch khắc phục, nâng cấp hệ thống cho phù hợp với những thay đổi trong hoạt động của tổ chức. Điều khoản 10 - Cải tiến hệ thống: Giữ vững nguyên tắc Kế hoạch - Thực hiện - Kiểm tra -
Hành động (P-D-C-A), tiêu chuẩn cũng đưa ra các yêu cầu đảm bảo Hệ thống ISMS không ngừng được cải tiến trong quá trình hoạt động Gồm các quy định trong việc áp dụng các chính sách mới, các hoạt động khắc phục, phòng ngừa các điểm yếu đã xảy ra và tiềm tàng để đảm bảo hiệu quả của Hệ thống ISMS.
Phụ lục A: Các mục tiêu và biện pháp kiểm soát: đưa ra 14 lĩnh vực kiểm soát nhằm cụ thể hóa các vấn đề mà tổ chức cần xem xét, thực hiện khi xây dựng và duy trì Hệ thống ISMS.
Triển khai ISMS ở Việt Nam
Khảo sát và lập kế hoạch Xác định phương pháp quản lý rủi ro ATTT
Xây dựng hệ thống đảm bảo ATTT tại đơn vị
Triển khai áp dụng: các biện pháp đã lựa chọn, đáp ứng chính sách, quy định, quy trình đã xây dựng và yêu cầu của tiêu chuẩn ISO 27001. Đánh giá nội bộ: khắc phục các điểm không phù hợp với các quy định của tổ chức và yêu cầu của tiêu chuẩn.
Sau khi thực hiện xong bước 5, tổ chức mời các đơn vị độc lập để đánh giá và cấp Chứng nhận phù hợp với tiêu chuẩn ISO 2701:2013 cho Hệ thống quản lý ATTT đã xây dựng.
DN nhận CC ATTT theo tiêu chuẩn ISO/IEC 27001:2013
Công ty Cổ phần Dịch vụ Công nghệ Tin học HPT – 12/05/2014; Ngân hàngVIETCOMBANK - 12/12/2014 (NH đầu tiên); Tập đoàn Bảo Việt – 23/1/2016; Trung tâmInternet Việt Nam (VNNIC) - 02/7/2015; Ngân hàng TMCP Sài Gòn - Hà Nội (SHB) -20/11/2015; Trung tâm dữ liệu của VNPT (VNPT Data) – 1/9/2016; Ngân hàng TMCP Quân đội(MB) - 04/2017.
Một số lưu ý của tiêu chuqn ISO 27001:2013
Hệ thống ISMS là nhu cầu thiết yếu của tổ chức, đảm bảo ATTT một cách toàn diện.
Xây dựng hệ thống ISMS theo tiêu chuẩn ISO/IEC 27001: 2013 sẽ giúp hoạt động đảm bảo ATTT của tổ chức được quản lý chặt chẽ
Do tiêu chuẩn ISO/IEC 27001:2013 xem xét đảm bảo ATTT trên nhiều khía cạnh Nên việc xây dựng và áp dụng hệ thống đòi hỏi phải có sự quyết tâm của lãnh đạo tổ chức Và sự phối hợp đồng bộ các bộ phận của tổ chức trong việc xây dựng và duy trì hệ thống.
Nhận thức của người dùng trong tổ chức về việc đảm bảo ATTT Đánh giá lợi ích mang lại khi áp dụng hệ thống ISMS chưa cao.
Trách nhiệm xây dựng, duy trì hệ thống được phân công không phù hợp Đơn vị được giao không nhận được sự phối hợp, cộng tác của các đơn vị khác trong tổ chức.
Việc xây dựng và nâng cấp hệ thống cần sự quan tâm của lãnh đạo và đầu tư nguồn lực thích đáng.
VĂN BẢN PHÁP LUẬT VỀ NGÀNH CÔNG NGHỆ THÔNG TIN14
Luật CNTT
Quốc hội thông qua 29/06/2006, có hiệu lực 01/07/2007.
Căn cứ vào Hiến pháp nước Cộng hoà xã hội chủ nghĩa Việt Nam năm 1992 đã được sửa đổi, bổ sung theo Nghị quyết số 51/2001/QH10 ngày 25 tháng 12 năm 2001 của Quốc hội khoá X, kỳ họp thứ 10.
Là văn bản pháp luật cao nhất trong lĩnh vực CNTT định hướng và tạo hàng lang pháp lý cho lĩnh vực CNTT phát triển và hội nhập quốc tế.
Luật CNTT quy định về hoạt động ứng dụng và phát triển CNTT, các biện pháp bảo đảm ứng dụng và phát triển CNTT, quyền và nghĩa vụ của cơ quan, tổ chức, cá nhân tham gia hoạt động ứng dụng và phát triển CNTT.
Luật này áp dụng đối với tổ chức, cá nhân Việt Nam, tổ chức, cá nhân nước ngoài tham gia hoạt động ứng dụng và phát triển công nghệ thông tin tại Việt Nam.
Sự cần thiết ban hành Luật CNTT:
Tầm quan trọng của CNTT:
Phát huy hiệu ủa năng lực trí tuệ cùa người VN.
Thúc đầy phát triển kinh tế, rút ngắn khoảng cách phát triển so với các nước trong khu vực và thế giới.
Tạo điều kiện hội nhập kinh tê quốc tế và đảm bảo quốc phòng, an ninh.
Công nghiệp CNTT là ngành công nghiệp mà giá trị của sản phẩm chủ yếu là hàm lượng công nghệ và tri thức cao sẽ là ngành công nghiệp mũi nhọn, là nhân tố quan trọng đẩy nhanh tốc độ CNH, HĐH đất nước.
Hiện trạng ngành CNTT của VN:
Còn nhiều vấn đề bất cập.
Phát triển chưa đồng bộ, chưa đáp ứng được yêu cầu CNH, HĐH và yêu cầu hội nhập kinh tế quốc tế
Việc đầu tư cho CNTT còn dàn trải và kém hiệu quả.
Năng lực cạnh tranh của các doanh nghiệp CNTT Việt Nam còn yếu
Việc ứng dụng CNTT trong quản lý, nhất là quản lý hành chính của các cơ quan nhà nước còn chậm, chưa đồng bộ, hiệu quả chưa cao
Sản phẩm CNTT có sức cạnh tranh thấp, thâm nhập được vào thương trường thế giới không đáng kể.
Nguyên nhân gây ra hiện trạng ngành CNTT của VN
Nhiều nguyên nhân khác nhau.
Trong đó có nguyên nhân về tổ chức thực hiện và môi trường pháp lý vì các văn bản quy phạm pháp luật hiện có ở nước ta còn rời rạc, đơn lẻ nên hoạt động CNTT chưa được điều chỉnh bởi một hệ thống các quy phạm pháp luật thống nhất, đồng bộ và cập nhật với sự phát triển của CNTT thế giới.
Do đó, cần thiết phải có Luật về CNTT để điều chỉnh các mối quan hệ xã hội mới phát sinh do sự phát triển của CNTT, tạo cơ sở pháp lý để góp phần khắc phục những yếu kém, đẩy mạnh ứng dụng và phát triển CNTT.
Tìm hiểu một số điều khoản luật Điều 8 Quyền của tổ chức, cá nhân tham gia hoạt động ứng dụng và phát triển công nghệ thông tin:
Tổ chức, cá nhân tham gia hoạt động ứng dụng công nghệ thông tin có các quyền sau đây: đ) Từ chối cung cấp hoặc nhận trên môi trường mạng sản phẩm, dịch vụ trái với quy định của pháp luật và phải chịu trách nhiệm về việc đó. Điều 9 Trách nhiệm của tổ chức, cá nhân tham gia hoạt động ứng dụng và phát triển công nghệ thông tin
2 Tổ chức, cá nhân khi hoạt động kinh doanh trên môi trường mạng phải thông báo công khai trên môi trường mạng những thông tin có liên quan, bao gồm: a Tên, địa chỉ địa lý, số điện thoại, địa chỉ thư điện tử; b Thông tin về quyết định thành lập, giấy phép hoạt động hoặc giấy chứng nhận đăng ký kinh doanh (nếu có); c Tên cơ quan quản lý nhà cung cấp (nếu có); d Thông tin về giá, thuế, chi phí vận chuyển (nếu có) của hàng hóa, dịch vụ. Điều 12 Các hành vi bị nghiêm cấm:
2 Cung cấp, trao đổi, truyền đưa, lưu trữ, sử dụng thông tin số nhằm mục đích sau đây: c) Tiết lộ bí mật nhà nước, bí mật quân sự, an ninh, kinh tế, đối ngoại và những bí mật khác đã được pháp luật quy định; d) Xuyên tạc, vu khống, xúc phạm uy tín của tổ chức, danh dự, nhân phẩm, uy tín của công dân; đ) Quảng cáo, tuyên truyền hàng hoá, dịch vụ thuộc danh mục cấm đã được pháp luật quy định. Điều 16 Truyền đưa thông tin số
4 Tổ chức, cá nhân truyền đưa thông tin số của tổ chức, cá nhân khác không phải chịu trách nhiệm về nội dung thông tin đó, trừ trường hợp thực hiện một trong các hành vi sau đây: c) Lựa chọn và sửa đổi nội dung thông tin được truyền đưa. Điều 21 Thu thập, xử lý và sử dụng thông tin cá nhân trên môi trường mạng
2 Tổ chức, cá nhân thu thập, xử lý và sử dụng thông tin cá nhân của người khác có trách nhiệm sau đây: a) Thông báo cho người đó biết về hình thức, phạm vi, địa điểm và mục đích của việc thu thập, xử lý và sử dụng thông tin cá nhân của người đó; b) Sử dụng đúng mục đích thông tin cá nhân thu thập được và chỉ lưu trữ những thông tin đó trong một khoảng thời gian nhất định theo quy định của pháp luật hoặc theo thoả thuận giữa hai bên; c) Tiến hành các biện pháp quản lý, kỹ thuật cần thiết để bảo đảm thông tin cá nhân không bị mất, đánh cắp, tiết lộ, thay đổi hoặc phá huỷ; Điều 69 Bảo vệ quyền sở hữu trí tuệ trong lĩnh vực công nghệ thông tin:
2 Người sử dụng hợp pháp phần mềm được bảo hộ có quyền sao chép phần mềm đó để lưu trữ dự phòng và thay thế phần mềm bị phá hỏng mà không phải xin phép, không phải trả tiền bản quyền. Điều 71 Chống vi rút máy tính và phần mềm gây hại
Tổ chức, cá nhân không được tạo ra, cài đặt, phát tán vi rút máy tính, phần mềm gây hại vào thiết bị số của người khác để thực hiện một trong những hành vi sau đây:
1 Thay đổi các tham số cài đặt của thiết bị số;
2 Thu thập thông tin của người khác;
3 Xóa bỏ, làm mất tác dụng của các phần mềm bảo đảm an toàn, an ninh thông tin được cài đặt trên thiết bị số; Điều 72 Bảo đảm an toàn, bí mật thông tin:
Luật Giao dịch Điện tử
Quốc hội thông qua 29/11/2005, có hiệu lực 01/03/2006.
Luật này quy định về giao dịch điện tử trong hoạt động của các cơ quan nhà nước; trong lĩnh vực dân sự, kinh doanh, thương mại và các lĩnh vực khác do pháp luật quy định
Luật này áp dụng đối với cơ quan, tổ chức, cá nhân lựa chọn giao dịch bằng phương tiện điện tử.
Luật này bao gồm nhiều các quy định về: Thông điệp dữ liệu, chữ ký điện tử và chứng thực chữ ký điện tử; Giao kết và thực hiện hợp đồng điện tử; An ninh, an toàn, bảo vệ, bảo mật trong giao dịch điện tử; Giải quyết tranh chấp và xử lý vi phạm trong giao dịch điện tử.
Giải thích từ ngữ (Điều 4)
1 là thông điệp dữ liệu do tổ chức cung cấp dịch vụ chứng thực chữ ký điện tử phát hành nhằm xác nhận cơ quan, tổ chức, cá nhân được chứng thực là người ký chữ ký điện tử.
2 là việc xác nhận cơ quan, tổ chức, cá nhân được chứng thực là người ký chữ ký điện tử
3 là chương trình máy tính được thiết lập để hoạt động độc lập hoặc thông qua thiết bị, hệ thống thông tin, chương trình máy tính khác nhằm tạo ra một chữ ký điện tử đặc trưng cho người ký thông điệp dữ liệu
4 là tập hợp các dữ liệu được sắp xếp, tổ chức để truy cập, khai thác, quản lý và cập nhật thông qua phương tiện điện tử.
5 Dữ liệu là thông tin dưới dạng ký hiệu, chữ viết, chữ số, hình ảnh, âm thanh hoặc dạng tương tự.
6 là giao dịch được thực hiện bằng phương tiện điện tử.
12 là thông tin được tạo ra, được gửi đi, được nhận và được lưu trữ bằng phương tiện điện tử.
13 là tổ chức thực hiện hoạt động chứng thực chữ ký điện tử theo quy định của pháp luật.
Nguyên tắc chung tiến hành giao dịch điện tử (Điều 5)
1 Tự nguyện lựa chọn sử dụng phương tiện điện tử để thực hiện giao dịch.
2 Tự thỏa thuận về việc lựa chọn loại công nghệ để thực hiện giao dịch điện tử.
3 Không một loại công nghệ nào được xem là duy nhất trong giao dịch điện tử.
4 Bảo đảm sự bình đẳng và an toàn trong giao dịch điện tử.
5 Bảo vệ quyền và lợi ích hợp pháp của cơ quan, tổ chức, cá nhân, lợi ích của Nhà nước, lợi ích công cộng.
6 Giao dịch điện tử của cơ quan nhà nước phải tuân thủ các nguyên tắc quy định tại Điều 40 của Luật này. Điều 9 Các hành vi bị nghiêm cấm trong giao dịch điện tử
1 Cản trở việc lựa chọn sử dụng giao dịch điện tử.
2 Cản trở hoặc ngăn chặn trái phép quá trình truyền, gửi, nhận thông điệp dữ liệu.
3 Thay đổi, xoá, huỷ, giả mạo, sao chép, tiết lộ, hiển thị, di chuyển trái phép một phần hoặc toàn bộ thông điệp dữ liệu.
4 Tạo ra hoặc phát tán chương trình phần mềm làm rối loạn, thay đổi, phá hoại hệ thống điều hành hoặc có hành vi khác nhằm phá hoại hạ tầng công nghệ về giao dịch điện tử.
5 Tạo ra thông điệp dữ liệu nhằm thực hiện hành vi trái pháp luật.
6 Gian lận, mạo nhận, chiếm đoạt hoặc sử dụng trái phép chữ ký điện tử của người khác. Điều 22 Điều kiện để bảo đảm an toàn cho chữ ký điện tử
1 Chữ ký điện tử được xem là bảo đảm an toàn nếu được kiểm chứng bằng một quy trình kiểm tra an toàn do các bên giao dịch thỏa thuận và đáp ứng được các điều kiện sau đây: a) Dữ liệu tạo chữ ký điện tử chỉ gắn duy nhất với người ký trong bối cảnh dữ liệu đó được sử dụng; b) Dữ liệu tạo chữ ký điện tử chỉ thuộc sự kiểm soát của người ký tại thời điểm ký; c) Mọi thay đổi đối với chữ ký điện tử sau thời điểm ký đều có thể bị phát hiện; d) Mọi thay đổi đối với nội dung của thông điệp dữ liệu sau thời điểm ký đều có thể bị phát hiện. Điều 45 Bảo vệ thông điệp dữ liệu
Cơ quan, tổ chức, cá nhân không được thực hiện bất kỳ hành vi nào gây phương hại đến sự toàn vẹn của thông điệp dữ liệu của cơ quan, tổ chức, cá nhân khác.
Một số nghị định đính kèm Luật giao dịch điện tử
Số: 26/2007/NĐ-CP, thông qua ngày 15/2/2007.
Nghị định quy định chi tiết thi hành Luật Giao dịch điện tử về chữ ký số và dịch vụ chứng thực chữ ký số.
Số: 35/2007/NĐ-CP, thông qua ngày 08/03/2007.
Nghị định quy định chi tiết thi hành Luật Giao dịch điện tử về giao dịch điện tử trong hoạt động ngân hàng.
Số: 52/2013/NĐ-CP, thông qua ngày 16/05/2013.
Nghị định quy định chi tiết thi hành Luật Giao dịch điện tử về thương mại điện tử.
3.1 Nghị Định về chữ ký số và chứng thư số:
Số: 26/2007/NĐ-CP, Thông qua ngày 16/5/2013
Nghị định này quy định chi tiết về chữ ký số và chứng thư số; việc quản lý, cung cấp và sử dụng dịch vụ chứng thực chữ ký số.
Tìm hiểu một số điều khoản luật Điều 3 Giải thích từ ngữ
1 " " là một dạng chứng thư điện tử do tổ chức cung cấp dịch vụ chứng thực chữ ký số cấp.
2 " " là chứng thư số do tổ chức cung cấp dịch vụ chứng thực chữ ký số nước ngoài cấp.
3 “ ” là chứng thư số chưa hết hạn, không bị tạm dừng hoặc bị thu hồi.
4 " " là một dạng chữ ký điện tử được tạo ra bằng sự biến đổi một thông điệp dữ liệu sử dụng hệ thống mật mã không đối xứng theo đó người có được thông điệp dữ liệu ban đầu và khoá công khai của người ký
5 “ ” là chữ ký số do thuê bao sử dụng chứng thư số nước ngoài tạo ra.
6 “ ” là một loại hình dịch vụ chứng thực chữ ký điện tử, do tổ chức cung cấp dịch vụ chứng thực chữ ký số cấp Dịch vụ chứng thực chữ ký số bao gồm: a) Tạo cặp khóa bao gồm khóa công khai và khóa bí mật cho thuê bao; b) Cấp, gia hạn, tạm dừng, phục hồi và thu hồi chứng thư số của thuê bao; c) Duy trì trực tuyến cơ sở dữ liệu về chứng thư số; d) Những dịch vụ khác có liên quan theo quy định.
8 “ ” là một chuỗi các số nhị phân (0 và 1) dùng trong các hệ thống mật mã.
9 “ ” là một khóa trong cặp khóa thuộc hệ thống mật mã không đối xứng, được dùng để tạo chữ ký số.
10 “ ” là một khóa trong cặp khóa thuộc hệ thống mật mã không đối xứng, được sử dụng để kiểm tra chữ ký số được tạo bởi khoá bí mật tương ứng trong cặp khoá. Điều 9 Điều kiện đảm bảo an toàn cho chữ ký số
Chữ ký số được xem là chữ ký điện tử an toàn khi đáp ứng các điều kiện sau:
1 Chữ ký số được tạo ra trong thời gian chứng thư số có hiệu lực và kiểm tra được bằng khoá công khai ghi trên chứng thư số có hiệu lực đó.
2 Chữ ký số được tạo ra bằng việc sử dụng khoá bí mật tương ứng với khoá công khai ghi trên chứng thư số do tổ chức cung cấp dịch vụ chứng thực chữ ký số quốc gia, tổ chức cung cấp dịch vụ chứng thực chữ ký số công cộng, tổ chức cung cấp dịch vụ chứng thực chữ ký số chuyên dùng được cấp giấy chứng nhận đủ điều kiện đảm bảo an toàn cho chữ ký số hoặc tổ chức cung cấp dịch vụ chứng thực chữ ký số nước ngoài được công nhận tại Việt Nam cấp.
3 Khóa bí mật chỉ thuộc sự kiểm soát của người ký tại thời điểm ký.
Luật sở hữu trí tuệ Việt Nam
Luật sở hữu trí tuệ Việt Nam được Quốc hội Việt Nam thông qua ngày 29/11/2005 và có hiệu lực vào ngày 1/7/ 2006
Là luật quy định về quyền tác giả, quyền liên quan đến quyền tác giả, quyền sở hữu công nghiệp, quyền đối với giống cây trồng và việc bảo hộ các quyền đó.
Luật này áp dụng đối với tổ chức, cá nhân Việt Nam; tổ chức, cá nhân nước ngoài đáp ứng các điều kiện quy định tại Luật này và điều ước quốc tế mà Cộng hoà xã hội chủ nghĩa Việt Nam là thành viên. Đối tượng quyền sở hữu trí tuệ (Điều 3)
1 Đối tượng quyền tác giả bao gồm tác phẩm văn học, nghệ thuật, khoa học; đối tượng quyền liên quan đến quyền tác giả bao gồm cuộc biểu diễn, bản ghi âm, ghi hình, chương trình phát sóng, tín hiệu vệ tinh mang chương trình được mã hoá.
2 Đối tượng quyền sở hữu công nghiệp bao gồm sáng chế, kiểu dáng công nghiệp, thiết kế bố trí mạch tích hợp bán dẫn, bí mật kinh doanh, nhãn hiệu, tên thương mại và chỉ dẫn địa lý.
3 Đối tượng quyền đối với giống cây trồng là giống cây trồng và vật liệu nhân giống.
Các loại hình tác phqm được bảo hộ quyền tác giả (Điều 14)
1 Tác phẩm văn học, nghệ thuật và khoa học được bảo hộ bao gồm: a) Tác phẩm văn học, khoa học, sách giáo khoa, giáo trình và tác phẩm khác được thể hiện dưới dạng chữ viết hoặc ký tự khác; b) Bài giảng, bài phát biểu và bài nói khác; c) Tác phẩm báo chí; d) Tác phẩm âm nhạc; đ) Tác phẩm sân khấu; e) Tác phẩm điện ảnh và tác phẩm được tạo ra theo phương pháp tương tự (sau đây gọi chung là tác phẩm điện ảnh); g) Tác phẩm tạo hình, mỹ thuật ứng dụng; h) Tác phẩm nhiếp ảnh; i) Tác phẩm kiến trúc; k) Bản họa đồ, sơ đồ, bản đồ, bản vẽ liên quan đến địa hình, công trình khoa học; l) Tác phẩm văn học, nghệ thuật dân gian; m) Chương trình máy tính, sưu tập dữ liệu.
Tìm hiểu một số điều khoản luật Điều 22: Quyền tác giả đối với chương trình máy tính, sưu tập dữ liệu
Chương trình máy tính là tập hợp các chỉ dẫn được thể hiện dưới dạng các lệnh, các mã, lược đồ hoặc bất kỳ dạng nào khác, khi gắn vào một phương tiện mà máy tính đọc được, có khả năng làm cho máy tính thực hiện được một công việc hoặc đạt được một kết quả cụ thể.
Chương trình máy tính được bảo hộ như tác phẩm văn học, dù được thể hiện dưới dạng mã nguồn hay mã máy. Điều 28 Hành vi xâm phạm quyền tác giả
3 Công bố, phân phối tác phẩm mà không được phép của tác giả.
Tình hình vi phạm SHTT ở VN
Hiện nay, tình trạng vi phạm SHTT ở nước ta vẫn đang ở mức báo động
Với sự phát triển của khoa học công nghệ, đặc biệt là CNTT, việc sao chép, quảng bá nội dung thông tin dưới các dạng thức như văn bản, hình ảnh, âm thanh… ngày càng trở nên dễ dàng, tồn tại sự vi phạm lớn đối với lĩnh vực phần mềm hay bản quyền trong văn học nghệ thuật.
Tỷ lệ vi phạm bản quyền PM máy tính - VN năm 2015 là 78%, trong khi tỷ lệ này của toàn thế giới chỉ là 39% VN năm 2017, giảm 4% so với 2015.
Luật An ninh mạng
5.1 Luật an toàn thông tin mạng:
Luật an toàn thông tin mạng 2015 Xây dựng từ năm 2011, Quốc hội thông qua ngày 19/11/2015 Gồm 8 Chương, 54 Điều
Quy định về hoạt động an toàn thông tin mạng (ATTTM), quyền và trách nhiệm của cơ quan, tổ chức, cá nhân trong việc bảo đảm ATTTM; mật mã dân sự; tiêu chuẩn; quy chuẩn kỹ thuật về ATTTM; kinh doanh trong lĩnh vực ATTTM; phát triển nguồn nhân lực ATTTM; quản lý nhà nước về ATTTM.
Sự cần thiết Luật an toàn thông tin mạng:
Sự phát triển của mạng xã hội góp phần quan trọng phát triển kinh tế - xã hội, song cũng tạo môi trường thuận lợi cho các hoạt động tác động, chuyển hóa chính trị, khủng bố
Sự phát triển của trí tuệ nhân tạo đã và đang tạo ra những thành tựu khoa học công nghệ vượt trội, đóng vai trò ngày càng quan trọng trong nhiều lĩnh vực của đời sống xã hội nhưng cũng được dự báo sẽ gây nên “thảm họa” nếu không được kiểm soát chặt chẽ.
Các thiết bị kết nối internet ngày càng phổ biến không chỉ mang lại những lợi ích to lớn cho cuộc sống con người, phát triển kinh tế - xã hội, bảo đảm quốc phòng - an ninh mà còn có thể bị sử dụng để tiến hành các cuộc tấn công mạng quy mô lớn
Các cuộc tấn công mạng có chủ đích không chỉ có thể phá hoại các mục tiêu, công trình quan trọng về an ninh quốc gia mà còn chiếm đoạt thông tin, tài liệu bí mật, chiếm đoạt để sử dụng các hệ thống dữ liệu lớn, dữ liệu nhanh phục vụ các ý đồ chính trị và hoạt động phạm tội.
Giải quyết các yêu cầu về ATTTM quốc gia;
Hoàn thiện cơ sở pháp lý về ATTT theo hướng áp dụng các quy định pháp luật đồng bộ, khả thi trong thực tiễn thi hành và phát huy các nguồn lực của đất nước để bảo đảm ATTTM;
Phát triển lĩnh vực ATTTM đáp ứng yêu cầu phát triển kinh tế - xã hội và bảo đảm quốc phòng, an ninh.
Bảo vệ quyền và lợi ích hợp pháp của tổ chức, cá nhân tham gia hoạt động ATTTM; Đẩy mạnh công tác giám sát, phòng, chống nguy cơ mất ATTTM, đảm bảo hiệu quả công tác thực thi quản lý nhà nước trong lĩnh vực ATTTM;
Mở rộng hợp tác quốc tế về ATTTM trên cơ sở tôn trọng độc lập, chủ quyền, bình đẳng, cùng có lợi, phù hợp với luật pháp Việt Nam và điều ước quốc tế mà Việt Nam tham gia ký kết.
Tìm hiểu một số điều khoản luật Điều 4: Nguyên tắc bảo đảm ATTTM
1 Cơ quan, tổ chức, cá nhân có trách nhiệm bảo đảm an toàn thông tin mạng Hoạt động an toàn thông tin mạng của cơ quan, tổ chức, cá nhân phải đúng quy định của pháp luật, bảo đảm quốc phòng, an ninh quốc gia, bí mật nhà nước, giữ vững ổn định chính trị, trật tự, an toàn xã hội và thúc đẩy phát triển kinh tế - xã hội
2 Tổ chức, cá nhân không được xâm phạm an toàn thông tin mạng của tổ chức, cá nhân khác.
4 Hoạt động an toàn thông tin mạng phải được thực hiện thường xuyên, liên tục, kịp thời và hiệu quả. Điều 7 Các hành vi bị nghiêm cấm
1 Ngăn chặn việc truyền tải thông tin trên mạng, can thiệp, truy nhập, gây nguy hại, xóa, thay đổi, sao chép và làm sai lệch thông tin trên mạng trái pháp luật.
2 Gây ảnh hưởng, cản trở trái pháp luật tới hoạt động bình thường của hệ thống thông tin hoặc tới khả năng truy nhập hệ thống thông tin của người sử dụng.
3 Tấn công, vô hiệu hóa trái pháp luật làm mất tác dụng của biện pháp bảo vệ an toàn thông tin mạng của hệ thống thông tin; tấn công, chiếm quyền điều khiển, phá hoại hệ thống thông tin.
4 Phát tán thư rác, phần mềm độc hại, thiết lập hệ thống thông tin giả mạo, lừa đảo.
5 Thu thập, sử dụng, phát tán, kinh doanh trái pháp luật thông tin cá nhân của người khác; lợi dụng sơ hở, điểm yếu của hệ thống thông tin để thu thập, khai thác thông tin cá nhân
6 Xâm nhập trái pháp luật bí mật mật mã và thông tin đã mã hóa hợp pháp của cơ quan, tổ chức, cá nhân; tiết lộ thông tin về sản phẩm mật mã dân sự, thông tin về khách hàng sử dụng hợp pháp sản phẩm mật mã dân sự; sử dụng, kinh doanh các sản phẩm mật mã dân sự không rõ nguồn gốc. Điều 10 Quản lý gửi thông tin:
1 Việc gửi thông tin trên mạng phải bảo đảm các y/cầu sau đây: a) Không giả mạo nguồn gốc gửi thông tin; b) Tuân thủ quy định của Luật này và quy định khác của pháp luật có liên quan
QUY TẮC ĐẠO ĐỨC NGHỀ NGHIỆP NGÀNH CÔNG NGHỆ THÔNG TIN (PROFESSIONAL CODE OF ETHICS IN INFORMATION TECHNOLOGY)
Đạo đức nghề nghiệp (Professional Ethics)
Là một yếu tố quan trọng để phát triển sự nghiệp
Nó quyết định khả năng tồn tại của bạn trong thị trường lao động Đạo đức nghề nghiệp thể hiện ngay trong cách bạn phản ứng trước những tình huống trong cuộc sống công sở hàng ngày.
Những tiêu chuẩn, nguyên tắc, thước đo cho những hành vi của mọi người trong quá trình công tác, hoạt động tại một lĩnh vực đó Nó có sự linh hoạt và đặc trưng của từng nghề nghiệp, nó thể hiện những yêu cầu cụ thể của ngành nghề đó
Những quan điểm đạo đức này được xã hội thừa nhận và mang tính kế thừa, phát huy Tất nhiên đạo đức trong nghề nghiệp cũng có những mối liên hệ chặt chẽ Nó được thể hiện một phần thông qua đạo đức cá nhân
Trong từng giai đoạn lịch sử khác nhau, dưới từng chế độ xã hội khác nhau Những quy chuẩn về đạo đức trong nghề nghiệp có những sự thay đổi nhất định Tiêu chuẩn này đối với mỗi cá nhân hay tập thể đều được coi là tài sản vô giá Nó quyết định sự thành công của cá nhân hay tổ chức đó.
Tại sao chúng ta phải có quy tắc ĐĐNN
Tượng trưng cho tính chuyên nghiệp của nhóm.
Xác định và thúc đẩy một tiêu chuẩn cho các mối quan hệ bên ngoài với khách hàng và chủ doanh nghiệp.
Bảo vệ được lợi ích của nhóm.
Hệ thống hóa các quyền của thành viên.
Diễn đạt được lý tưởng khao khát đạt tới. Đưa ra các nguyên tắc trong “gray areas”.
Quy tắc ĐĐNN ảnh hưởng gì đối với DN
Là tài sản vô giá của doanh nghiệp.
Là điểm tựa vững chắc của mỗi nhân viên vững chắc trong một môi trường làm việc Có nhiều sự ảnh hưởng về những tranh chấp trong sự thăng quan tiến chức trong sự nghiệp Chính vì thế để có một doanh nghiệp mạnh và phát triển thì mỗi nhân viên cần phải có được đạo đức nghề nghiệp.
Là một tiêu chuẩn dùng để nhận xét và đánh giá về một cá nhân nào đó trong công việc Đạo đức nghề nghiệp cũng chính là bằng chứng để chứng minh về sự thành công của cá nhân và doanh nghiệp.
Tại sao có quy tắc ĐĐNN trong ngành CNTT
Một phần mềm có khả năng làm điều tốt hoặc gây hại, hoặc có thể ảnh hưởng đến người khác để làm điều tốt hoặc điều gây hại.
Chúng ta phải tự hào trong công việc của mình và muốn công việc chúng ta thực hiện được công nhận và tôn trọng.
Chúng ta muốn bảo vệ sinh kế của mình.
5 05 tiêu chuqn ĐĐNN ngành CNTT:
Ngày 29/12/2017, Bộ Thông tin và Truyền thông ban hành Thông tư 45/2017/TT-BTTTT quy định tiêu chuẩn chức danh nghề nghiệp viên chức chuyên ngành công nghệ thông tin.
Chấp hành các chủ trương, đường lối, chính sách của Đảng, pháp luật của Nhà nước, các quy định của ngành và địa phương về thông tin và truyền thông.
Nắm vững quan điểm, đường lối, chủ trương chính sách, chỉ thị, nghị quyết của Đảng và pháp luật Nhà nước về lĩnh vực chuyên ngành;
Trung thực, khách quan, có tinh thần trách nhiệm cao đối với công việc được giao; thực hiện đúng và đầy đủ các nghĩa vụ của người viên chức trong hoạt động nghề nghiệp.
IEEE Institute of Electrical and Electronics Engineers (IEEE).
Viện các kỹ sư điện, điện tử quốc tế.
Tổ chức quốc tế, tập các nhà khoa học, các nhà giáo dục, các chuyên gia đầu ngành, tổ chức phi lợi nhuận.
Thành lập 1963, từ sự hợp nhất của Hiệp hội kỹ sư điện Hoa kỳ (1884) và Hiệp hội Kỹ sư Vô tuyến điện (1912).
Hiện có 39 hội chuyên ngành với các thành viên đến từ hơn 150 nước, hoạt động trong 325 chi hội tại tất cả các vùng lãnh thổ.
IEEE là cơ quan phát triển các tiêu chuẩn quốc tế hàng đầu với gần 900 tiêu chuẩn đã được an hành, phát hành hơn 100 tạp chí khoa học.
Là một hiệp hội quốc tế về nghiên cứu, giáo dục ngành Khoa học máy tính và Tin học uy tín nhất thế giới với hơn 100.000 hội viên, tính đến năm 2011.
Bộ quy tắc đạo đức của ACM
Được thiết kế để hướng dẫn hành vi đạo đức của tất cả các chuyên gia máy tính, bao gồm các giảng viên, sinh viên, người sử dụng công nghệ máy tính.
Bộ luật bao gồm các nguyên tắc được xây dựng dưới dạng các tuyên bố về trách nhiệm, dựa trên sự hiểu biết rằng lợi ích công cộng luôn là yếu tố chính
Bộ luật đạo đức và hành vi chuyên nghiệp ACM thể hiện lương tâm của nghề.
6 1 NGUYÊN TẮC ĐẶC BIỆT CHUNG.
Một chuyên gia điện toán nên
6 1 1 Đóng góp cho xã hội và làm cho con người hạnh phúc:
Liên quan đến chất lượng cuộc sống của tất cả mọi người,
Giảm thiểu các hậu quả tiêu cực của máy tính, bao gồm các mối đe dọa đến sức khỏe, an toàn, bảo mật cá nhân và quyền riêng tư.
6 1 2 Tránh gây hậu quả tiêu cực:
Chấn thương về thể chất hoặc tinh thần không hợp lý.
Phá hủy hoặc tiết lộ thông tin không hợp lý và thiệt hại không hợp lý đối với tài sản, danh tiếng và môi trường.
6 1 3 Hãy trung thực và đáng tin cậy:
Minh bạch và cung cấp đầy đủ thông tin về tất cả các khả năng, hạn chế và các vấn đề tiềm ẩn của hệ thống cho các bên thích hợp.
6 1 4 Hãy công bằng và hành động không phân biệt đối xử:
Thúc đẩy sự tham gia công bằng của tất cả mọi người.
Bình đẳng, khoan dung, tôn trọng người khác.
Tạo ra các sản phẩm hay các ứng dụng không phân biệt người dùng.
6 1 5 Tôn trọng công việc cần thiết để tạo ra các ý tưởng mới, sáng chế, tác phẩm sáng tạo và các tạo tác điện toán
Ghi nhận những người tạo ra ý tưởng, sáng chế, tôn trọng quyền tác giả, bằng sáng chế, bí mật thương mại và các phương thức bảo vệ tác phẩm của tác giả.
6 1 6 Tôn trọng quyền riêng tư
Hiểu các quyền và trách nhiệm liên quan đến việc thu thập và sử dụng thông tin cá nhân.
Nên sử dụng thông tin cá nhân cho các mục đích hợp pháp và không vi phạm quyền của cá nhân và nhóm
Thiết lập các chính sách và quy trình minh bạch cho phép các cá nhân hiểu dữ liệu nào đang được thu thập và cách sử dụng dữ liệu, đồng ý cho thu thập dữ liệu tự động và xem xét, lấy, sửa lỗi không chính xác và xóa dữ liệu cá nhân của họ.
Các chuyên gia máy tính thường được giao phó thông tin bí mật như bí mật thương mại, dữ liệu khách hàng, chiến lược kinh doanh phi công cộng, thông tin tài chính, dữ liệu nghiên cứu, các bài báo nghiên cứu trước xuất bản và các ứng dụng bằng sáng chế Các chuyên gia máy tính nên bảo vệ tính bảo mật ngoại trừ trong trường hợp đó là bằng chứng về vi phạm pháp luật, các quy định của tổ chức hoặc của Bộ luật.
6 2 1 Phấn đấu đạt chất lượng cao cả về quy trình và sản phẩm của công việc chuyên môn
Nhấn mạnh và hỗ trợ công việc chất lượng cao từ bản thân và từ các đồng nghiệp
6 2 2 Duy trì các tiêu chuẩn cao về năng lực chuyên môn, hành vi và thực hành đạo đức
Cần duy trì năng lực chuyên môn, phát triển kỹ năng giao tiếp Nâng cao kỹ năng nên là một quá trình liên tục và có thể bao gồm nghiên cứu độc lập, tham dự các hội nghị hoặc hội thảo, và giáo dục không chính thức hoặc chính thức khác
6 2 3 Biết và tôn trọng các quy tắc hiện hành liên quan đến công việc chuyên môn
Tuân thủ các quy tắc bao gồm luật và quy định của địa phương, khu vực, quốc gia và quốc tế, cũng như mọi chính sách và thủ tục của tổ chức mà chuyên gia thuộc về
Chất lượng cao làm việc chuyên nghiệp trong máy tính phụ thuộc vào đánh giá chuyên nghiệp ở tất cả các giai đoạn
Tìm kiếm và sử dụng đánh giá ngang hàng và các bên liên quan
6 2 4 Chấp nhận và cung cấp đánh giá chuyên nghiệp phù hợp:
Cung cấp các đánh giá mang tính xây dựng, quan trọng cho công việc của người khác.
6 2 5 Đưa ra các đánh giá toàn diện và toàn diện về hệ thống máy tính và tác động của chúng, bao gồm phân tích các rủi ro có thể xảy ra
Các chuyên gia máy tính có trách nhiệm đặc biệt để cung cấp các đánh giá khách quan, đáng tin cậy cho người sử dụng lao động, nhân viên, khách hàng, người dùng và công chúng
Nhận thức, thấu đáo và khách quan khi đánh giá, giới thiệu và trình bày các mô tả hệ thống và các lựa chọn thay thế Cần chú ý đặc biệt để xác định và giảm thiểu rủi ro tiềm ẩn trong các hệ thống học máy.
6 2 6 Chỉ thực hiện công việc trong các lĩnh vực có thẩm quyền Đánh giá tính khả thi của các công việc tiềm năng và đưa ra phán quyết về việc phân công công việc có nằm trong phạm vi thẩm quyền của chuyên gia hay không Đánh giá đạo đức của một chuyên gia máy tính dựa trên quyết định của họ trong việc nhận nhiệm vụ.
6 2 7 Nhận thức, các công nghệ liên quan và hậu quả của chúng
Chuyên gia máy tính nên chia sẻ về công nghệ máy tính kiến thức kỹ thuật với công chúng, nhận thức về công nghệ máy tính
Các vấn đề quan trọng bao gồm các tác động của hệ thống máy tính, những hạn chế của chúng, các lỗ hổng của chúng và các rủi ro
Ngoài ra, một chuyên gia tính toán cần phải đánh giá được những thông tin không chính xác hoặc gây hiểu nhầm liên quan đến máy tính.
6 2 8 Truy cập tài nguyên máy tính và truyền thông chỉ khi được ủy quyền hoặc khi bị ép buộc bởi lợi ích công cộng
Không nên truy cập vào hệ thống máy tính, phần mềm hoặc dữ liệu của người khác mà không được ủy quyền hoặc phù hợp với lợi ích chung.
Trong trường hợp đặc biệt, một chuyên gia tính toán có thể sử dụng truy cập trái phép để làm gián đoạn hoặc ức chế hoạt động của các hệ thống độc hại; các biện pháp phòng ngừa bất thường phải được thực hiện trong những trường hợp này để tránh gây tổn hại cho người khác.
6 2 9 Thiết kế và triển khai các hệ thống mạnh mẽ và an toàn
Các chuyên gia máy tính phải xem xét thiết kế và triển khai hệ thống bảo mật mạnh mẽ Thực hiện thẩm định để đảm bảo các chức năng của hệ thống được bảo mật mạnh,có hành động thích hợp để bảo đảm các nguồn lực chống lại việc sử dụng sai mục đích
Tính toán tích hợp các kỹ thuật và chính sách theo dõi, vá lỗi và báo cáo lỗ hổng
Thực hiện các bước để đảm bảo các bên bị ảnh hưởng bởi các vi phạm dữ liệu được thông báo một cách kịp thời và rõ ràng, cung cấp hướng dẫn và khắc phục thích hợp. Để đảm bảo hệ thống đạt được mục đích đã định, các tính năng bảo mật cần được thiết kế trực quan và dễ sử dụng nhất có thể
Ngăn cản các biện pháp phòng ngừa an ninh quá khó hiểu, có tình huống không phù hợp hoặc ngăn cản việc sử dụng hợp pháp.
6 3 NGUYÊN TẮC LÃNH ĐẠO CHUYÊN NGHIỆP. Đảm bảo rằng lợi ích công cộng là mối quan tâm chính trong tất cả các công việc điện toán chuyên nghiệp.
Kết nối, khuyến khích chấp nhận và đánh giá việc thực hiện trách nhiệm xã hội của các thành viên trong tổ chức hoặc nhóm.
Quản lý nhân sự và nguồn lực để nâng cao chất lượng cuộc sống làm việc.
Nói rõ, áp dụng và hỗ trợ các chính sách và quy trình phản ánh các nguyên tắc của Bộ luật.
Tạo cơ hội cho các thành viên của tổ chức hoặc nhóm phát triển thành các chuyên gia.
Sử dụng dịch vụ chăm sóc khi sửa đổi hoặc gỡ bỏ hệ thống.
Nhận biết và chăm sóc đặc biệt các hệ thống được tích hợp vào cơ sở hạ tầng của xã hội.
6 4 TUÂN THỦ BỘ QUY TẮC ĐẠO ĐỨC
Mở rộng, quảng bá và tôn trọng các nguyên tắc của Bộ luật.
Lợi ích của việc tuân thủ các quy tắc đạo đức
Thu hút nhân viên tận tâm muốn tham gia vào trong một tổ chức sản xuất phần mềm có chất lượng.
Mối quan tâm của công chúng Có uy tín về chất lượng và sự tin cậy sẽ quảng bá hình ảnh đạo đức cho công ty của bạn Đổi lại, điều này sẽ cho công chúng biết rằng công ty đang làm việc với mục đích có lợi cho cộng đồng và tự hào chấp nhận trách nhiệm đó.
Hình ảnh chuyên nghiệp: Tuân thủ các tiêu chuẩn chất lượng sẽ đạt được sự tôn trọng cho công ty của bạn và nâng cao chất lượng của phần mềm mà nó tạo ra
Niềm tin công cộng: Sản xuất một phần mềm chất lượng sẽ cho công chúng thấy rằng lợi ích tốt nhất của họ đang được đáp ứng với sự bảo mật và tiêu chuẩn cao
Tiêu chuẩn nội bộ Cải thiện thông tin liên lạc giữa quản lý và đồng nghiệp Các kỹ sư phần mềm sẽ thực hiện công việc này suốt đời , việc tạo ra một sản phẩm chất lượng sẽ phản ánh sự chuyên nghiệp của họ.
TỘI PHẠM MÁY TÍNH
Theo Bộ Tư pháp Mỹ: “Tội phạm trong lĩnh vực công nghệ thông tin là “bất cứ hành vi vi phạm pháp luật hình sự nào có liên quan đến việc sử dụng các hiểu biết về công nghệ máy tính trong việc phạm tội”.
Theo từ điển Bách khoa Công an nhân dân Việt Nam: “Loại tội phạm sử dụng những thành tựu mới của khoa học – kỹ thuật và công nghệ hiện đại làm công cụ, phương tiện để thực hiện hành vi phạm tội một cách cố ý hoặc vô ý, gây nguy hiểm cho xã hội Chủ thể của loại tội phạm này thường là những người có trình độ học vấn, chuyên môn cao, có thủ đoạn rất tinh vi, khó phát hiện Hậu quả do loại tội phạm này gây ra không chỉ là những thiệt hại về mặt kinh tế, xã hội mà nó còn xâm phạm tới an ninh quốc gia.”
Theo tổ chức Cảnh sát hình sự quốc tế INTERPOL: Tội phạm công nghệ cao “là loại tội phạm sử dụng, lạm dụng những thiết bị kỹ thuật, dây chuyền công nghệ có trình độ cao như một công cụ phương tiện để thực hiện hành vi phạm tội”.
Tội phạm với mục đích tấn công Website, một hệ thống thông tin, CSDL chứa dữ liệu hoặc hệ thống mạng máy tính.
Tội phạm “truyền thống” sử dụng công nghệ cao.
2 Cơ sở pháp lý về tội phạm trong CNTT:
Tội phạm công nghệ cao sẽ bị xử lý hình sự theo quy định tại chương 21 của bộ luật hình sự năm 2015, cụ thể gồm 10 điều từ 285 đến 294: Điều 285: Tội sản xuất, mua bán, trao đổi hoặc tặng cho công cụ, thiết bị, phần mềm để sử dụng vào mục đích trái pháp luật Điều 286: Tội phát tán chương trình tin học gây hại cho hoạt động của mạng máy tính, mạng viễn thông, phương tiện điện tử Điều 287: Tội cản trở hoặc gây rối loạn hoạt động của mạng máy tính, mạng viễn thông, phương tiện điện tử Điều 288: Tội đưa hoặc sử dụng trái phép thông tin mạng máy tính, mạng viễn thông Điều 289: Tội xâm phạm trái phép vào mạng máy tính, mạng viễn thông, hoặc phương tiện điện tử của người khác Điều 290: Tội sử dụng mạng máy tính, mạng viễn thông, phương tiện điển tử thực hiện hành vi chiếm đoạt tài sản Điều 291: Tội thu thập, tàng trữ, trao đổi, mua bán, công khai hóa trái phép thông tin về tài khoản ngân hàng Điều 293 Tội sử dụng trái phép tần số vô tuyến điện dành riêng cho mục đích cấp cứu, an toàn, tìm kiếm, cứu hộ, cứu nạn, quốc phòng, an ninh. Điều 294 Tội cố ý gây nhiễu có hại.
Chứng cứ điện tử là những chứng cứ được lưu giữ dưới dạng tín hiệu điện tử trong máy tính hoặc trong các thiết bị có bộ nhớ kỹ thuật số có liên quan đến vụ án hình sự.
Những chứng cứ điện tử có thể thu thập được để chứng minh hành vi phạm tội bao gồm:
Những chứng cứ điện tử do máy tính tự động tạo ra như: “cookies”, “URL”, E-mail logs, web server logs…
Những thông tin điện tử do con người tạo ra được lưu giữ trong máy tính hoặc các thiết bị điện tử khác, như các văn bản, bảng biểu, các hình ảnh, thông tin… được lưu giữ dưới dạng tín hiệu điện tử
Cách thu thập chứng cứ điện tử: Cần sử dụng kỹ thuật, công nghệ máy tính và phần mềm phù hợp để có thể phục hồi lại những “dấu vết điện tử” đã bị xóa, bị ghi đè, những dữ liệu tồn tại dưới dạng ẩn, đã mã hóa, những phần mềm, mã nguồn được cài đặt dưới dạng ẩn, để làm cho có thể đọc được, ghi lại dưới hình thức có thể đọc được và có thể sử dụng làm bằng chứng pháp lý trước tòa án.
Là những hình thức biểu hiện mới của chứng cứ Cần bổ sung, sửa đổi thủ tục khám xét, thu giữ vật chứng.
Quyền và thủ tục khám xét, thu giữ máy tính và các thiết bị kỹ thuật số có lưu chứng cứ điện tử;
Quyền yêu cầu cung cấp dữ liệu máy tính, quyền và thủ tục thu giữ và lưu giữ chứng cứ điện tử đối với các nhà cung cấp dịch vụ internet, chủ sở hữu máy tính;
Quyền yêu cầu cung cấp thông tin trên máy tính dưới dạng có thể mang đi, hữu hình và đọc được.
Quyền truy cập và lấy dữ liệu phục vụ công tác điều tra.
Bảo quản dữ liệu điện tử đã được truyền tải qua mạng máy tính, đặc biệt là dữ liệu có nguy cơ bị mất hoặc sửa đổi, để bắt buộc người quản lý máy tính giữ bí mật, bảo quản và lưu giữ sự toàn vẹn của dữ liệu máy tính trong một khoảng thời gian cần thiết, tối đa là 90 ngày, để cơ quan có thẩm quyền tìm kiếm và thu giữ những thông tin có liên quan đến vụ việc.
Quyền yêu cầu cung cấp thông tin thuê bao, thông tin truy cập, thông tin các cuộc gọi và những thông tin khác có liên quan đến vụ việc đối với nhà cung cấp dịch vụ viễn thông, internet.
3 Phân loại phạm tội trong lĩnh vực CNTT:
Phân loại tội phạm dựa theo vai trò của máy tính
Tấn công CSDL, tạo ra, lan truyền, phát tán chương trình virus, độ nhập trái phép CSDL máy tính, ăn cắp dữ liệu
Tội đánh bạc trên mạng, tội cung cấp các dịch vụ mại dâm trực tuyến, tội truyền bá văn hóa phẩm đồi trụy trên mạng
Phát tán virus, phầm mền gián điệp.
Trộm cắp thông tin thẻ tín dụng.
Lừa đảo trong lĩnh vực thương mại, thanh toán điện tử.
Lừa đảo qua hệ thống viển thông Voice over internet Protocol.
Lừa đảo bằng thủ đoạn “bẫy tình” trên mạng xã hội.
Sử dụng hoặc đưa thông tin trái phép lên mạng Internet.
Sử dụng mạng máy tính thực hiện hành vi chiếm đoạt tài sản.
Sử dụng tiền ảo để rửa tiền.
Tổ chức hoặc đánh bạc, cá độ bóng đá qua mạng.
Xâm phạm quyền sở hữu trí tuệ.
4 Tình hình tội phạm trong lĩnh vực CNTT:
Ngày một tinh viCó tổ chứcHàng ảo, tiền thật
XU HƯỚNG NGHỀ NGHIỆP
Internet of Things (IoT) là gì? là thuật ngữ dùng để chỉ các đối tượng có thể được nhận biết cũng như sự tồn tại của chúng trong một kiến trúc mang tính kết nối Đây là một viễn cảnh trong đó mọi vật, mọi con vật hoặc con người được cung cấp các định danh và khả năng tự động truyền tải dữ liệu qua một mạng lưới mà không cần sự tương tác giữa con người-với-con người hoặc con người-với-máy tính
IoT tiến hoá từ sự hội tụ của các công nghệ không dây, hệ thống vi cơ điện tử (MEMS) và Internet Cụm từ này được đưa ra bởi Kevin Ashton vào năm 1999 Ông là một nhà khoa học đã sáng lập ra Trung tâm Auto-ID ở đại học MIT (Massachusetts Institute of Technology - thành phố Cambridge, bang Massachusetts, Hoa Kỳ)
"Thing" - sự vật - trong Internet of Things, có thể là một trang trại động vật với bộ tiếp sóng chip sinh học, một chiếc xe ô tô tích hợp các cảm biến để cảnh báo lái xe khi lốp quá non, hoặc bất kỳ đồ vật nào do tự nhiên sinh ra hoặc do con người sản xuất ra mà có thể được gán với một địa chỉ IP và được cung cấp khả năng truyền tải dữ liệu qua mạng lưới.
Một là đó phải là một ứng dụng internet.
Hai là, nó phải lấy được thông tin của vật chủ.
- Nhu cầu cần có IoT
- Ví dụ Ứng dụng tủ lạnh trong IoT: Một ví dụ điển hình cho IoT là tủ lạnh thông minh, nó có thể là một chiếc tủ lạnh bình thường nhưng có gắn thêm các cảm biến bên trong giúp kiểm tra được số lượng các loại thực phẩm có trong tủ lạnh, cảm biến nhiệt độ, cảm biến phát hiện mở cửa,…và các thông tin này được đưa lên internet Với một danh mục thực phẩm được thiết lập trước bởi người dùng, khi mà một trong các loại thực phẩm đó sắp hết thì nó sẽ thông báo ngay cho chủ nhân nó biết rằng cần phải bổ sung gấp, thậm chí nếu các loại sản phẩm được gắn mã ID thì nó sẽ tự động trực tiếp gửi thông báo cần nhập hàng đến siêu thị và nhân viên siêu thị sẽ gửi loại thực phẩm đó đến tận nhà
- Cần có Kỹ năng, kinh nghiệm gì?
M2M (máy đến máy) Điện toán đám mây An ninh bảo mật Phần mềm hướng dịch vụ SaaS (Software as a Service) Quản lý tài chính: giá cả, dự báo và đánh giá lợi nhuận.
2 Kỹ sư thực tế ảo 2.1 Thực tế ảo là gì?
Thực tế ảo hay còn gọi là thực tại ảo (virtual reality - VR) sẽ là công nghệ tương lai giúp cong người tương tác với thế giới ảo một cách chân thực nhất.
Thực tế ảo là thuật ngữ miêu tả một môi trường mô phỏng bằng máy tính Đa phần các môi trường thực tại ảo chủ yếu là hình ảnh hiển thị trên màn hình máy tính hay thông qua kính nhìn ba chiều, tuy nhiên một vài mô phỏng cũng có thêm các loại giác quan khác khác như âm thanh hay xúc giác.
Thực tế ảo hay còn gọi là thực tại ảo (tiếng Anh là virtual reality, viết tắt là VR) sẽ là công nghệ tương lai giúp cong người tương tác với thế giới ảo một cách chân thực nhất.
Thực tế ảo là thuật ngữ miêu tả một môi trường mô phỏng bằng máy tính Đa phần các môi trường thực tại ảo chủ yếu là hình ảnh hiển thị trên màn hình máy tính hay thông qua kính nhìn ba chiều, tuy nhiên một vài mô phỏng cũng có thêm các loại giác quan khác khác như âm thanh hay xúc giác.
Trong thực tế, với một môi trường thực tế ảo đầy đủ, người dùng không chỉ nhìn thấy đối tượng đồ họa 3D nổi, điều khiển (xoay, di chuyển ) được đối tượng trên màn hình (như trong game), mà còn tương tác và cảm thấy chúng như có thật
Ngoài khả năng nhìn (thị giác), nghe (thính giác), sờ (xúc giác), các nhà phát triển cũng đã nghiên cứu để tạo các cảm giác khác như ngửi (khứu giác), nếm (vị giác), tuy nhiên hiện nay những sản phẩm VR mang đến loại cảm giác này vẫn chưa có nhiều.
Công nghệ thực tế ảo là một thuật ngữ mới xuất hiện khoảng đầu thập kỷ 90, nhưng thực sự phát triển mạnh trong vòng vài năm trở lại đây
Công nghệ này chỉ thực sự được ứng dụng rộng rãi trong khoảng 10 năm trở lại đây nhờ vào sự phát triển của các sản phẩm phần mềm và phần cứng
Tại Hoa Kỳ và châu Âu, thực tế ảo (VR) đã và đang trở thành một ngành công nghệ được quan tâm mạnh mẽ nhờ vào khả năng ứng dụng rộng rãi trong mọi lĩnh vực (nghiên cứu và công nghiệp, giáo dục và đào tạo, du lịch, dịch vụ bất động sản, thương mại, giải trí và quốc phòng) của nó.
2.2 Đặc điểm thực tế ảo
Có thể được gói gọn trong 3 từ tiếng Anh bắt đầu bằng chữ cái I (3I) bao gồm:
Tính tương tác (Interactive) Cảm giác Đắm chìm (Immersion) Tính Tưởng tượng (Imagination) Tương tác (interactive):
Máy tính có khả năng nhận biết được tín hiệu vào của người sử dụng và thay đổi ngay lập tức thế giới ảo
Người sử dụng nhìn thấy sự vật thay đổi trên màn hình ngay theo ý muốn của họ và bị thu hút bởi sự mô phỏng này.
Cảm giác đắm chìm (immersion):
Người dùng cảm thấy mình là một phần của thế giới ảo, hòa lẫn vào thế giới đó VR còn đẩy cảm giác này "thật" hơn nữa nhờ tác động lên các kênh cảm giác khác
Người dùng không những nhìn thấy đối tượng đồ họa 3D, điều khiển (xoay,di chuyển…) được đối tượng mà còn sờ và cảm thấy chúng như có thật.
Sự du hành : là khả năng của người dùng để di chuyển khắp nơi một cách độc lập, cứ như là đang ở bên trong một môi trường thật Nhà phát triển phần mềm có thể thiết lập những áp đặt đối với việc truy cậpvào những khu vực ảo nhất định, cho phép có được nhiều mức độ tự do khác nhau (Người dùng có thể bay, xuyên tường, đi lại khắp nơi hoặc bơi lặn…) Một khía cạnh khác của sự du hành là sự định vị điểm nhìn của người dùng Sự kiểm soát điểm nhìn là việc người dùng tự theo dõi chính họ từ một khoảng cách, việc quan sát cảnh tượng thông qua đôi mắtcủa một con người khác, hoặc di chuyển khắp trong thiết kế của một cao ốc mới như thể đang ngồi trong một chiếc ghế đẩy… Động lực học của môi trường là những quy tắc về cách thức mà người, vật và mọi thứ tương tác với nhau trong một trật tự để trao đổi năng lượng hoặc thông tin.
2.3 Các ứng dụng thực tế ảo
Giải trí (game, move, ) Giáo dục
Y tế Công nghiệp Quân đội
2.4 Kỹ sư thực tế ảo cần gì?
Kiến thức nền tảng: Computer Vision, đồ họa máy tính, Phát triển ứng dụng di động, OpenGL ES, C #, OpenGL, DirectX, WebGL, Xử lý hình ảnh kỹ thuật số.
3 Chuyên gia bảo mật máy tính
Am hiểu các cuộc tấn công không gian mạng
Khả năng sử dụng công nghệ mới như các thuật toán máy học để phân tích, hiểu, và chống lại mối đe dọa
Giao thức mạng Phân tích gói tin Công nghệ mã hóa cũng như khả năng viết PL/SQL hoặc SQL script
3.1 Chuyên gia bảo mật làm gì?