Quy trình Đánh giá rủi ro an ninh nội bộ

Phân loại các khu vực và hoạt động có nguy cơ an ninh cao - Mục tiêu: Xác định rõ các khu vực hoặc hoạt động trong công ty có mức độ rủi ro cao hơn, để có thể tập trung nguồn lực và biện

CÔNG TY TNHH GREEN VISION SOLUTION

QUY TRÌNH ĐÁNH GIÁ RỦI RO AN NINH NỘI BỘ

INTERNAL SECURITY RISK ASSESSMENT PROCESS

Mã số: QT-AN-003 Lần ban hành: 01

Ngày ban hành: 01.01.2024

Trang: 1/6

SOẠN THẢO DRAFTED BY

KIỂM TRA CHECKED BY

PHÊ DUYỆT APPROVED BY

QUẢN LÝ THAY ĐỔI Ngày/ tháng/

Lần ban hành

I. MỤC ĐÍCH

Quy trình này được xây dựng nhằm mục đích:

- Đánh giá, xác định, và quản lý các rủi ro liên quan đến an ninh nội bộ trong hoạt động của công ty

- Đảm bảo an toàn cho tài sản, cơ sở vật chất, hàng hóa, và nhân viên thông qua việc giảm thiểu và phòng ngừa các mối đe dọa an ninh

- Tuân thủ các quy định và tiêu chuẩn quốc tế về quản lý rủi ro an ninh

II PHẠM VI:

Quy trình này áp dụng cho toàn bộ công ty, bao gồm các khu vực lưu trữ, sản xuất, văn phòng, kho bãi, và tất cả các hoạt động nội bộ có liên quan đến an ninh và bảo mật Quy trình cũng áp dụng đối với các nhân viên, đối tác, và khách hàng có liên quan trực tiếp đến các hoạt động an ninh

III ĐỊNH NGHĨA:

- Rủi ro: Một thước đo tác hại tiềm tàng từ một sự kiện không mong muốn bao gồm mối

đe dọa, tính dễ bị tổn thương và hậu quả Điều quyết định mức độ rủi ro là mối đe dọa có khả năng sẽ xảy ra như thế nào Khả năng xảy ra cao thường sẽ tương đương với mức độ rủi ro cao

- Rủi ro an ninh: Là các mối đe dọa có khả năng gây thiệt hại cho tài sản, cơ sở vật chất,

nhân viên hoặc thông tin nội bộ của công ty

- Đánh giá rủi ro: Là quá trình xác định, phân tích, và đánh giá các rủi ro có khả năng

xảy ra trong hệ thống an ninh nội bộ của công ty

- Kế hoạch giảm thiểu rủi ro: Là các biện pháp và hành động được đưa ra nhằm giảm

thiểu tác động của rủi ro đối với an ninh công ty

IV TÀI LIỆU VIỆN DẪN:

- Tiêu chuẩn ISO 31000:2018 về Quản lý Rủi ro

- Quy định của CTPAT (Customs-Trade Partnership Against Terrorism) về quản lý và đánh giá rủi ro an ninh

- Các tiêu chuẩn về bảo mật và an ninh thông tin của công ty

V NỘI DUNG QUY TRÌNH:

1 XÁC ĐỊNH RỦI RO

1.1 Phân loại các khu vực và hoạt động có nguy cơ an ninh cao

- Mục tiêu: Xác định rõ các khu vực hoặc hoạt động trong công ty có mức độ rủi ro cao

hơn, để có thể tập trung nguồn lực và biện pháp bảo vệ

- Hướng dẫn cụ thể:

 Xác định các khu vực có mức độ tiếp cận hạn chế: Các khu vực như kho bãi, khu vực sản xuất, lưu trữ hàng hóa thành phẩm, văn phòng quản lý dữ liệu hoặc phòng máy chủ thường là những nơi nhạy cảm, cần được phân loại có nguy cơ an ninh cao

 Phân loại theo mức độ quan trọng của tài sản: Những khu vực lưu trữ hoặc sản xuất các hàng hóa có giá trị cao (như hàng đông lạnh, tài liệu quan trọng, hàng hóa chuẩn

bị xuất khẩu) cần được đánh giá là khu vực rủi ro an ninh cao

 Phân loại theo tính chất hoạt động: Các hoạt động như vận chuyển hàng hóa, xuất nhập hàng và quản lý dữ liệu thường có rủi ro cao về an ninh do liên quan đến luồng hàng hóa và thông tin nhạy cảm

- Ví dụ:

 Khu vực sản xuất: Tiềm ẩn rủi ro về việc nhân viên không tuân thủ quy trình an toàn lao động hoặc truy cập trái phép vào thiết bị sản xuất

 Kho bãi: Nguy cơ mất cắp nội bộ, hoặc không quản lý chặt chẽ việc xuất nhập hàng hóa

 Phòng máy chủ: Có rủi ro về an ninh mạng hoặc truy cập trái phép dẫn đến mất dữ liệu

1.2 Xác định các mối đe dọa có thể xảy ra

- Mục tiêu: Xác định cụ thể các mối đe dọa có khả năng gây ra rủi ro cho các khu vực

và hoạt động đã phân loại ở bước 1

a) Rủi ro nội bộ: Các vấn đề an ninh xuất phát từ nhân viên hoặc quy trình nội bộ của

công ty

- Ví dụ:

 Nhân viên không tuân thủ quy trình: Không thực hiện đúng các quy trình an ninh, vô

ý gây rủi ro

 Trộm cắp nội bộ: Nhân viên lợi dụng quyền truy cập vào kho bãi hoặc khu vực sản xuất để lấy cắp hàng hóa hoặc tài sản

 Thiếu giám sát: Khu vực không có giám sát thường xuyên, gây ra các hành vi vi phạm an ninh

b) Rủi ro ngoại vi: Các mối đe dọa xuất phát từ bên ngoài công ty, do các đối tượng

bên ngoài gây ra

- Ví dụ:

 Truy cập trái phép: Kẻ xâm nhập có thể tìm cách vào các khu vực nhạy cảm của công ty mà không được phép

 Phá hoại tài sản: Có nguy cơ bên ngoài gây thiệt hại cho tài sản của công ty, như phá hoại hệ thống an ninh, cổng ra vào, hoặc cơ sở vật chất

 Xâm nhập từ bên ngoài: Sự xâm nhập của người không được phép vào khu vực có giới hạn, như kho bãi hoặc phòng máy chủ

c) Rủi ro công nghệ: Các mối đe dọa liên quan đến hệ thống công nghệ và an ninh

mạng

- Ví dụ:

 Mất dữ liệu: Do lỗi kỹ thuật hoặc tấn công mạng, dữ liệu quan trọng của công ty có thể bị mất hoặc rò rỉ

 Tin tặc: Các cuộc tấn công từ hacker có thể nhắm vào hệ thống máy tính của công ty

để lấy cắp thông tin hoặc gây thiệt hại

 Sự cố hệ thống an ninh mạng: Hệ thống bảo mật gặp sự cố, dẫn đến việc các thông tin hoặc tài sản nhạy cảm bị đe dọa

2 ĐÁNH GIÁ RỦI RO

2.1 Xác định khả năng xảy ra (Likelihood – L) : Đánh giá xem mối đe dọa có khả năng xảy ra thường xuyên như thế nào

Điểm

số

Mô tả khả năng (Likelihood – L)

Mô tả chi tiết

1 Rất khó xảy ra: Rủi ro rất hiếm khi xảy ra, có thể do các biện pháp phòng ngừa hiện tại

đang được thực hiện rất hiệu quả hoặc do bản chất của rủi ro ít có khả

năng xảy ra.

2 Khó xảy ra Rủi ro có thể xảy ra nhưng không thường xuyên Điều này có thể do đã

có các biện pháp kiểm soát tốt hoặc do mức độ rủi ro tự nhiên thấp.

3 Có khả năng xảy

ra

Rủi ro có khả năng xảy ra định kỳ hoặc theo chu kỳ, dựa trên dữ liệu lịch sử hoặc phân tích hiện tại Điều này thường yêu cầu phải có các biện pháp phòng ngừa thường xuyên hoặc cần tăng cường giám sát.

4 Rất dễ xảy ra Rủi ro rất có khả năng xảy ra, có thể do không có hoặc thiếu các biện

pháp phòng ngừa, hoặc rủi ro đó đã xảy ra nhiều lần trong quá khứ Đây là mức độ nguy hiểm cao nhất và cần được xử lý ngay lập tức.

2.2 Xác định mức độ ảnh hưởng (Severity – S): Đánh giá mức độ nghiêm trọng nếu rủi ro đó xảy ra, bao gồm cả tác động về tài chính, an toàn và uy tín của công ty.

Điểm số Mức độ Nghiêm

trọng (Severity -S):

Mô tả chi tiết

1 Nhẹ Mất mát hoặc gián đoạn nhỏ, không ảnh hưởng đến hoạt động chính của

doanh nghiệp.

Thiệt hại tài sản hoặc dữ liệu không đáng kể, có thể phục hồi dễ dàng.

2 Trung bình Mất mát tài sản hoặc gián đoạn tạm thời, có thể ảnh hưởng đến một bộ

phận hoặc chức năng của doanh nghiệp.

Thiệt hại về tài sản, dữ liệu hoặc danh tiếng có thể ảnh hưởng trong ngắn hạn, nhưng có thể khắc phục.

3 Nghiêm trọng Mất mát tài sản đáng kể hoặc gián đoạn lớn, có thể ảnh hưởng đến hoạt

động kinh doanh trong thời gian dài.

Thiệt hại về dữ liệu hoặc tài sản có thể gây ra tổn thất tài chính lớn và cần thời gian để khắc phục

4 Thảm khốc Mất mát nghiêm trọng hoặc gián đoạn kéo dài, có thể đe dọa đến sự tồn

tại của doanh nghiệp.

Thiệt hại không thể khắc phục hoặc cần một khoảng thời gian rất dài để phục hồi, bao gồm cả các vụ kiện tụng hoặc mất uy tín lâu dài.

2.3 Rủi ro tổng thể

Điểm rủi ro tổng thể = Khả năng xảy ra (Likelihood) × Mức độ ảnh hưởng (Severity – S)

1 1 ~4 điểm

Rủi ro thấp

Rủi ro ở mức độ này được coi là chấp nhận được và không cần hành động ngay lập tức Tuy nhiên, vẫn cần theo dõi thường xuyên để đảm bảo rủi ro không gia tăng.

Rủi ro cao đòi hỏi sự chú ý ngay lập tức và cần có các biện pháp kiểm soát chặt chẽ Nếu không được quản lý, rủi

ro này có thể gây ra thiệt hại lớn cho tổ chức.

2 4 ~ 8 điểm

Rủi ro trung bình

Rủi ro ở mức độ này được coi là chấp nhận được và không cần hành động ngay lập tức Tuy nhiên, vẫn cần theo dõi thường xuyên để đảm bảo rủi ro không gia tăng.

Xem xét các biện pháp giảm thiểu để giảm thiểu khả năng xảy ra hoặc mức

độ nghiêm trọng của rủi ro Điều này

có thể bao gồm việc nâng cao các biện pháp an ninh hoặc tăng cường kiểm soát

3 9 ~ 12

điểm Rủi ro cao

Rủi ro cao đòi hỏi sự chú ý ngay lập tức và cần có các biện pháp kiểm soát chặt chẽ Nếu không được quản

lý, rủi ro này có thể gây ra thiệt hại lớn cho tổ chức.

Xem xét các biện pháp giảm thiểu để giảm thiểu khả năng xảy ra hoặc mức

độ nghiêm trọng của rủi ro Điều này

có thể bao gồm việc nâng cao các biện pháp an ninh hoặc tăng cường kiểm soát

4 13 ~ 16

điểm Rủi ro rất cao

Rủi ro cao đòi hỏi sự chú ý ngay lập tức và cần có các biện pháp kiểm soát chặt chẽ Nếu không được quản

lý, rủi ro này có thể gây ra thiệt hại lớn cho tổ chức.

Ngay lập tức triển khai các biện pháp kiểm soát toàn diện, bao gồm việc tái cấu trúc quy trình, đầu tư vào công nghệ bảo mật tiên tiến, hoặc thậm chí ngừng hoạt động nếu cần thiết để khắc phục tình hình Đồng thời, cần lập kế hoạch khôi phục khẩn cấp và chuẩn bị đối phó với các tình huống xấu nhất.

3 KẾ HOẠCH GIẢM THIỂU RỦI RO

3.1 Kiểm soát truy cập

- Mục tiêu: Ngăn chặn việc truy cập trái phép vào các khu vực nhạy cảm, bảo vệ tài sản

và thông tin quan trọng của công ty

- Biện pháp:

 Hệ thống thẻ từ: Sử dụng thẻ từ để kiểm soát ra vào các khu vực quan trọng (ví dụ: kho bãi, phòng máy chủ, văn phòng quản lý)

 Nhận dạng sinh trắc học: Sử dụng công nghệ nhận dạng sinh trắc học (vân tay, quét khuôn mặt, mống mắt) tại các lối vào quan trọng để tăng cường độ bảo mật

 Giới hạn quyền truy cập: Xác định rõ người có quyền truy cập vào từng khu vực, hạn chế số lượng người có thể tiếp cận khu vực có nguy cơ cao

 Ghi nhật ký truy cập: Ghi nhận thông tin truy cập của tất cả nhân viên, khách hàng hoặc nhà thầu vào khu vực nhạy cảm, để đảm bảo dễ dàng theo dõi và kiểm tra khi cần thiết

- Ví dụ: Trong một nhà máy sản xuất, chỉ những nhân viên có thẻ từ hoặc nhận dạng

sinh trắc học mới được phép vào khu vực lưu trữ hàng hóa có giá trị cao, giảm thiểu nguy cơ mất cắp

3.2 Tăng cường giám sát

- Mục tiêu: Giám sát liên tục các hoạt động tại các khu vực nhạy cảm để phát hiện và

phản ứng nhanh chóng với những tình huống không mong muốn

- Biện pháp:

 Lắp đặt camera giám sát (CCTV): Triển khai hệ thống camera giám sát 24/7 tại các khu vực có nguy cơ cao, như kho bãi, khu vực xuất nhập hàng hóa, và các lối vào chính

 Tăng cường nhân viên an ninh: Bố trí thêm nhân viên bảo vệ tại những khu vực quan trọng vào các khung giờ nhạy cảm (ví dụ: ban đêm, cuối tuần, khi vận chuyển hàng hóa lớn)

 Cảnh báo tự động: Sử dụng hệ thống cảnh báo tự động (âm thanh, đèn báo) khi phát hiện hoạt động bất thường qua camera hoặc cảm biến

- Ví dụ: Một khu vực kho bãi được lắp đặt hệ thống camera giám sát tại tất cả các lối

vào và được giám sát trực tiếp bởi đội ngũ bảo vệ Camera có thể gửi cảnh báo khi phát hiện chuyển động vào ban đêm

3.3 Kiểm tra an ninh định kỳ

- Mục tiêu: Phát hiện và khắc phục kịp thời các mối nguy tiềm ẩn trước khi chúng gây

ra sự cố

- Biện pháp:

 Kiểm tra hàng tuần/tháng: Thực hiện các cuộc kiểm tra định kỳ về an ninh vật lý (kiểm tra hệ thống khóa, camera, đèn chiếu sáng) và an ninh mạng (kiểm tra phần mềm bảo mật, hệ thống sao lưu dữ liệu)

 Kiểm tra đột xuất: Tổ chức kiểm tra không thông báo trước để đánh giá tính hiệu quả của các biện pháp an ninh hiện tại

 Lập báo cáo kiểm tra: Mỗi cuộc kiểm tra cần có báo cáo ghi lại các phát hiện, khuyến nghị và hành động khắc phục nếu có Báo cáo này sẽ giúp công ty liên tục cải thiện hệ thống an ninh của mình

- Ví dụ: Định kỳ mỗi tháng, công ty sẽ kiểm tra tất cả các camera an ninh để đảm bảo

chúng đang hoạt động tốt và không có điểm mù trong khu vực giám sát

3.4 Đào tạo nhân viên

- Mục tiêu: Tăng cường nhận thức và kỹ năng của nhân viên về an ninh, giúp họ nhận

biết và phản ứng nhanh với các tình huống rủi ro

- Biện pháp:

 Đào tạo nhận diện rủi ro: Tổ chức các khóa đào tạo giúp nhân viên nhận diện các mối đe dọa tiềm ẩn, từ rủi ro an ninh vật lý (trộm cắp, phá hoại) đến rủi ro an ninh mạng (phishing, tấn công mạng)

 Huấn luyện cách xử lý tình huống: Hướng dẫn nhân viên cách phản ứng khi gặp tình huống bất ngờ, như phát hiện truy cập trái phép hoặc sự cố an ninh mạng

 Đào tạo an ninh định kỳ: Tổ chức các buổi tập huấn hàng quý hoặc hàng năm để cập nhật những kiến thức mới nhất về an ninh cho nhân viên, giúp họ luôn sẵn sàng đối phó với các mối đe dọa mới

- Ví dụ: Công ty tổ chức khóa đào tạo về nhận diện các cuộc tấn công mạng, giúp nhân

viên biết cách phân biệt email lừa đảo và cách báo cáo sự cố

4 THEO DÕI VÀ GIÁM SÁT RỦI RO

4.1 Thiết lập hệ thống giám sát liên tục để kiểm tra tính hiệu quả của các biện pháp giảm thiểu rủi ro

- Mục tiêu: Đảm bảo các biện pháp giảm thiểu rủi ro đã được thực hiện đúng cách và có

hiệu quả Phát hiện sớm các mối đe dọa mới hoặc rủi ro tiềm ẩn để xử lý kịp thời

- Biện pháp thực hiện:

 Hệ thống giám sát tự động: Sử dụng các công cụ giám sát liên tục, như camera an ninh, phần mềm theo dõi hệ thống (giám sát mạng, an ninh mạng) và cảm biến cảnh báo Điều này giúp theo dõi tình hình 24/7 và phát hiện sớm các bất thường

 Phân công giám sát viên: Bổ nhiệm đội ngũ nhân viên chuyên trách hoặc bộ phận an ninh để giám sát và theo dõi các khu vực, hoạt động có nguy cơ cao Các giám sát viên sẽ phải kiểm tra định kỳ và báo cáo kịp thời khi phát hiện có rủi ro

 Kiểm tra ngẫu nhiên: Thực hiện các cuộc kiểm tra không báo trước tại các khu vực nhạy cảm hoặc điểm yếu trong hệ thống để đảm bảo rằng các biện pháp giảm thiểu rủi ro luôn được tuân thủ

- Ví dụ:

 Tại khu vực lưu trữ hàng hóa có giá trị cao, hệ thống camera giám sát liên tục được theo dõi bởi nhân viên an ninh, cùng với đó là hệ thống cảnh báo tự động nếu phát hiện di chuyển bất thường ngoài giờ làm việc

4.2 Bước 8: Thực hiện các báo cáo định kỳ về rủi ro an ninh và đánh giá lại rủi ro hàng quý hoặc khi có sự cố xảy ra

- Mục tiêu:

 Đảm bảo các cấp quản lý và đội ngũ liên quan luôn nắm bắt được tình hình an ninh hiện tại

 Điều chỉnh kịp thời kế hoạch quản lý rủi ro dựa trên kết quả thực tế và các tình huống phát sinh

- Biện pháp thực hiện:

 Báo cáo hàng tháng/quý: Lập báo cáo định kỳ về tình hình rủi ro, bao gồm các sự cố

đã xảy ra, các điểm yếu trong hệ thống an ninh và hiệu quả của các biện pháp giảm thiểu Báo cáo cần nêu rõ những rủi ro đã được phát hiện, cách xử lý và những hành động khắc phục

 Đánh giá lại rủi ro định kỳ: Mỗi quý hoặc nửa năm, cần thực hiện đánh giá lại toàn

bộ hệ thống rủi ro của công ty Đánh giá này sẽ so sánh giữa các rủi ro đã dự đoán và tình hình thực tế, xác định những thay đổi trong môi trường nội bộ hoặc bên ngoài có thể ảnh hưởng đến các mối đe dọa mới

 Báo cáo ngay lập tức khi xảy ra sự cố: Khi có sự cố an ninh, lập tức lập báo cáo chi tiết về sự cố, bao gồm nguyên nhân, hậu quả và các biện pháp khắc phục đã thực hiện Các bài học kinh nghiệm từ sự cố này sẽ được áp dụng cho các khu vực tương tự

- Ví dụ:

 Mỗi quý, bộ phận an ninh sẽ cung cấp báo cáo về các sự cố như trộm cắp nội bộ, truy cập trái phép và các cuộc tấn công mạng Báo cáo bao gồm phân tích rủi ro và

đề xuất cải tiến hệ thống giám sát, dựa trên những sự cố đã xảy ra

4.3 Điều chỉnh và cập nhật quy trình đánh giá rủi ro nếu phát hiện có sự thay đổi hoặc phát sinh mối nguy mới

- Mục tiêu:

 Đảm bảo quy trình đánh giá rủi ro luôn được cập nhật và phù hợp với môi trường kinh doanh thay đổi và các mối đe dọa mới

 Nâng cao tính linh hoạt và khả năng ứng phó nhanh chóng của công ty đối với các tình huống mới phát sinh

- Biện pháp thực hiện:

 Cập nhật quy trình đánh giá rủi ro: Khi có sự cố mới hoặc khi môi trường hoạt động

có sự thay đổi (ví dụ: mở rộng khu vực sản xuất, thay đổi về nhân sự, thay đổi công nghệ), quy trình đánh giá rủi ro cần được cập nhật kịp thời Điều này bao gồm việc

bổ sung các mối đe dọa mới vào danh sách rủi ro và điều chỉnh biện pháp giảm thiểu tương ứng

 Cải tiến hệ thống giám sát: Nếu phát hiện lỗ hổng trong hệ thống giám sát hiện tại, cần lập tức nâng cấp hoặc thay đổi biện pháp giám sát để tăng hiệu quả

 Tham khảo ý kiến chuyên gia: Trong trường hợp gặp phải những rủi ro mới hoặc các mối đe dọa phức tạp, việc tham vấn các chuyên gia an ninh hoặc tổ chức bên ngoài

có thể giúp đưa ra các giải pháp đối phó tốt hơn

- Ví dụ:

 Nếu công ty mở thêm một nhà kho mới, hệ thống đánh giá rủi ro cần được điều chỉnh để bổ sung các rủi ro liên quan đến kho mới này, như rủi ro trộm cắp, rủi ro phá hoại, và nguy cơ xảy ra sự cố an toàn Các biện pháp kiểm soát truy cập và giám sát an ninh cũng cần được mở rộng tương ứng

5 ĐÁNH GIÁ HIỆU QUẢ

5.1 Đánh giá mức độ hiệu quả của các biện pháp giảm thiểu đã được áp dụng

- Mục tiêu:

 Đánh giá xem các biện pháp đã thực hiện có giúp giảm thiểu rủi ro và đảm bảo an ninh, an toàn cho công ty hay không

 Xác định các biện pháp có hiệu quả cao và các biện pháp chưa đạt được kết quả mong đợi

- Biện pháp thực hiện:

a) Phân tích kết quả giám sát:

 Xem xét các số liệu, dữ liệu thu thập được từ hệ thống giám sát, báo cáo định kỳ và các sự cố đã xảy ra

 So sánh các rủi ro đã được dự báo trước khi áp dụng biện pháp giảm thiểu với thực

tế sau khi áp dụng Nếu số lượng sự cố giảm hoặc rủi ro được kiểm soát tốt hơn, các biện pháp đang hoạt động hiệu quả

b) Phản hồi từ nhân viên và các bên liên quan:

 Lấy ý kiến phản hồi từ nhân viên, đặc biệt là những người trực tiếp liên quan đến việc thực hiện và giám sát các biện pháp an ninh

 Phỏng vấn hoặc tổ chức các cuộc khảo sát để thu thập ý kiến của nhân viên về tính khả thi, hiệu quả và những khó khăn họ gặp phải khi áp dụng biện pháp giảm thiểu

 Đánh giá thông qua các báo cáo phản hồi từ các bộ phận khác nhau như bộ phận bảo

vệ, quản lý kho, bộ phận IT, và nhà cung cấp dịch vụ an ninh

c) Phân tích sự cố:

 Xem xét các sự cố đã xảy ra sau khi áp dụng các biện pháp giảm thiểu: loại sự cố, nguyên nhân, thiệt hại, và phản ứng của công ty

 Đánh giá xem các biện pháp đã áp dụng có đủ mạnh để ngăn chặn các sự cố tương tự trong tương lai hay không