Đề tài rủi ro và quản trị an toàn thông tin trong môi trường Đa nền tảng và Đám mây của tập Đoàn bưu chính viễn thông việt nam

Quản trị an toàn thông tin trong môi trường đa nền tảng và đám mây cũng giúp tập đoàn tuân thủ các quy định pháp luật về bảo mật thông tin và bảo vệ dữ liệu cá nhân, từ đó giảm thiểu rủi

TRUONG DAI HQC BA RIA-VUNG TAU KHOA KINH TE - LUAT

BARIA VUNGTAU UNIVERSITY

CAP SAINT JACQUES

BAO CAO TIEU LUAN MON HOC: QUAN TRI RUI RO

DE TAI: RUI RO VA QUAN TRI AN TOAN THONG TIN TRONG MOI

TRUONG DA NEN TANG VA DAM MAY CUA TAP DOAN BUU CHINH

VIEN THONG VIET NAM

Tên/nhóm sinh viên: Lê Thị Như Ý MSSV: 21031137

Nguyễn Lê Huyền Trang MSSV: 21030429 Huỳnh Ngọc Yến MSSV: 21030946

Trình độ đào tạo: Đại học Hệ dào tạo: Chính quy

Ngành: Quản trị kinh doanh Chuyên ngành: Quản trị doanh nghiệp

Giáng viên hướng dẫn: TS Phạm Hải Long

Ba Ria-Ving Tau, thang 08 năm 202

DANH GIA CUA GIANG VIEN CHAM THI 1

Bà Rịa - Vũng Tàu, ngày tháng năm 2024

Giảng viên cham thi 1 (Ky và ghi rõ họ tên)

TS Phạm Hải Long

DANH GIA CUA GIANG VIEN CHAM THI 2

Bà Rịa - Vũng Tàu, ngày tháng năm 2024

Giảng viên chấm thi 2 (Ky và ghi rõ họ tên)

Moi tiéu chi toi da 2 diém x

Ho Ket

MUC LUC

DANH GIA CUA GIANG VIEN CHAM THI 1 1 DANH GIA CUA GIANG VIEN CHAM THI 2 „ 2

PHIÊU ĐÁNH GIÁ CÁC THÁNH VIEN TRONG NHOÓMM 3

DANH MỤC TỪ VIẾT TẮTT 2 5° 5° s52 ©sZEs SE SseeEseEsceere se ca se 6

2 Mục tiêu nghiên CỨU 5< s5 s< sse sex sesese seeses 7

CHUONG 1: CO SO LY LUAN VE RUI RO VA QUAN TRI AN TOAN

1.1 Khái niệm về rủi ro và quản trị an toàn thông tản 10

1.1.1 Khiúi HIỆYH VỀ FHÚÌ FO e-o<cc<c se secsecseeeeeeeeerseceeeserersrree 10

1.1.2 Khái niệm về quản trị an toàn thông tÌH -s se- 10 1.2 Đặc điểm của môi trường đa nền tảng và đám mây 10

1.3 Các rủi ro trong môi trường đa nền tản và đám mây 11

1.3.1 Riúi ro VỀ (ÍÍ lÏỆH e-o< << EcseceEesEeeEsceersereereereceeree sersre 11

1.3.2 Rúi ro về ẨFH) CẬD Ăn TT ng 1n mm 12 1.3.3 RỦI PO VỀ bẢO THẬT se eSeĂSĂ SH Si nesessssnesssnsesenssessesnnsse 13

1.4 Các biện pháp quản trị an toàn thông tin trong môi trường đa nền tảng và đám Hmâầy, - 5< < 5 << 3 3 ng 0 HT ng ng mg mm 15

1.4.2 Biện pháp tỖ CÌUÚC -ce-ccsccsccecreEreceeEEkereeEeetreersrkersrsseerrerre 18

1.4.4 Biện phúp sử dụng CÔHG HỆ co cHSH HH mg cv nh chuc 20

TOM TAT CHUONG 1 sessessssesssessnssssssssesssssnssssessssssssssssesesesneesssesssseesees 23

CHUONG II TONG QUAN VE BOI CANHAN TOAN THONG TIN TAI

VIET NAMvcsssscssssssssssssssssssssssssscssssesssscsssscssssesssssessssssssscsssessssssssssscssessssesss senses 24

2.1 Sự phát triển của công nghệ và chuyền đỗi số - 24 2.2 Tình hình an toàn thông (ïm 7o G555 s0 00 95 Y1 1 155855 59 s56 24 2.2.1 Các mỗi đe dọa an toàn thông tin 24

2.3 Cách thức các doanh nghiệp Việt Nam sử dụng để xử lý và giảm

thiểu rủi ro an toàn thông (ỉn . °- 5° se se re re sexse sersee 25

2.4 Thách thức và cơ hội 26 2.4.1, Thách thức 26

Pa nn 26

TÓM TẮT CHƯƠNG II 26

CHUON GUI NGHIEN CUU VE CACH THUC TẬP ĐOÀN VNPT XỬ

LÝ VÀ GIÁM THIẾU RỦI RO AN TOÀN THÔNG TIN TRONG MÔI

3.4 So sánh cách thức Tổng Công ty Dịch vụ Viễn thông (VNPT) xử lý

và giảm thiêu rủi ro an toàn thông tin với một sô tập đoàn công nghệ

3.4.1 GIỐHg HÌHH e-.ce< sec heEseCheEreereereetserereereceecee 38

DANH MUC TU VIET TAT

1 | VNPT Vietnam Posts and Tập đoàn bưu chính viễn thông

Telecommunications Việt Nam Group

3 | DDoS Distributed Denial of Virut tấn công dữ liệu

Service

4 | GDPR General Data Protection Quy định Bảo vệ Dữ liệu Chung

Regulation của Liên minh châu Âu (EU)

5 |BIS Base Transceiver Station | Trạm thu phát gốc

6 |IP Internet Protocol Address | Địa chỉ mỗi thiết bị trên Internet

LOI MO DAU

1 Ly do chon dé tai

Trong bối cảnh số hóa ngày càng phát triển, an toàn thông tin trở thành yếu

tố then chốt đối với mọi tô chức Đối với một tập đoàn lớn như VNPT, bảo vệ thông tin khách hàng và dữ liệu nội bộ là một nhiệm vụ cực kỷ quan trọng Ngày nay, việc sử dụng các dịch vụ đám mây và hệ thống đa nền tảng trở nên phổ biến hon bao gid hét Diéu nay mang lai nhiéu loi ich vé mat hiéu quả và linh hoạt, nhưng cũng đồng thời làm gia tăng các rủi ro an toàn thông tín

VNPT là một trong những tập đoản viễn thông hàng đầu Việt Nam, VNPT quản lý một lượng lớn thông tin và đữ liệu Điều này đặt ra yêu cầu cao về việc triển khai các biện pháp bảo mật thông tin hiệu quả và tiên tiến Việc nghiên cứu

và triển khai các giải pháp quản trị rủi ro và an toàn thông tin không chỉ giúp VNPT bảo vệ dữ liệu, mà còn tăng cường niềm tin của khách hàng và đối tác, từ

đó nâng cao khả năng cạnh tranh trên thị trường Đề tài này có thể nằm trong chiến lược phát triển bền vững và đổi mới công nghệ của VNPT , nhằm đáp ứng yêu cầu của cuộc cách mạng công nghiệp 4.0 và xu thế chuyên đổi số Quản trị

an toàn thông tin trong môi trường đa nền tảng và đám mây cũng giúp tập đoàn tuân thủ các quy định pháp luật về bảo mật thông tin và bảo vệ dữ liệu cá nhân,

từ đó giảm thiểu rủi ro pháp lý

Chọn đề tải này không chỉ có giá trị nghiên cứu mả còn mang lại lợi ích thiết

thực trong viéc nang cao hiệu quả hoạt động và bảo vệ thông tin quan trọng của VNPT

2 Mục tiêu nghiên cứu

Xác định và phân loại các mối đe dọa mạng phố biến tại Việt Nam

Nghiên cứu và phát triển các công nghệ bảo mật tiên tiến như trí tuệ nhân tạo trong phát hiện và phòng ngừa tân công mạng

Đánh giá rủi ro an ninh mạng trong quá trình chuyên đổi số của doanh nghiệp

và tô chức

Nghiên cứu các biện pháp bảo mật hiệu quả trong môi trường kỹ thuật sô mới

3 Đối tượng nghiên cứu

Cách quản trị rủi ro và xử ly các rủi ro ảnh hưởng đến VNPT

4 Bố cục đề tài

Chương 1: Cơ sở ly luận VỀ rủi ro và quản trị an toàn thông tin

Chương 2: Tông quan về bối cảnh an toàn thông tin tại Việt Nam

Chương 3: Nghiên cứu về cách thức Tập đoàn VNPT xử lý và giảm thiêu rủi

ro an toàn thông tin trong môi trường kinh doanh số và đa nền tảng

LOI CAM ON

Đâu tiên, chúng em xin gửi lời cảm ơn sâu sắc đến Trường Đại học Bà Rịa — Vũng Tàu đã đưa bộ Quản Trị Rủi Ro vào chương trình giảng dạy Đặc biệt, chúng em xin bảy tỏ lòng biết ơn sâu sắc đến giảng viên bộ môn — TS Phạm Hải Long là người đã tận tình dạy dỗ và truyền đạt những kiến thức quý báu cho chúng em trong suốt thời gian học tập vừa qua Trong thời gian tham dự lớp học của thay, chúng em đã được tiếp cận với nhiều kiến thức bề ích và rất cần thiết cho quá trình học tập, làm việc sau này của chung em

Quản trị rủi ro là một môn học thú vi và vô cùng bé ich Tuy nhiên, những kiến thức và kỹ năng về môn hoc nay của chúng em vẫn còn nhiều hạn chế Do

đó, bài tiểu luận của chúng em khó tránh khỏi những sai sót Kính mong thầy xem xét và góp ý giúp bài tiểu luận của em được hoàn thiện hơn

Em xin chân thành cảm ơn!

CHUONG 1: CO SO LY LUAN VE RUI RO VA QUAN TRI AN TOAN

THONG TIN

1.1 Khái niệm về rủi ro và quản trị an toàn thông tin

1.1.1 Khái niệm về rủi ro

Rủi ro được định nghĩa là khả năng xảy ra một sự kiện không mong muốn, gay thiệt hại hoặc ảnh hưởng tiêu cực đến mục tiêu đã đề ra

Theo Douglas W Hubbard (2009), rủi ro là sự không chắc chắn về một sự kiện hoặc điều kiện có thể có tác động tiêu cực hoặc tích cực đến các mục tiêu của tô chức

Khái niệm Quản trị rủi ro

Kloman, Hatimes và các tác s1ả khác cho rang:

“Quản trị rủi ro là quá trình tiếp cận rủi ro một cách khoa học, toàn diện và

có hệ thống nhằm nhận dạng, kiếm soát, phòng ngừa và giảm thiểu những tổn thất, mắt mát, những ảnh hưởng bắt lợi của rủi ro”

1.1.2 Khái niệm về quản trị an toàn thông tỉn

Quan tri an toàn thông tin là quá trình quan lý và bảo vệ thông tin khỏi các mối đe dọa và rủi ro

Theo tiêu chuẩn ISO/IEC 27001, quản trị an toàn thông tin bao gồm việc thiết lập, thực hiện, duy trì và cải tiễn liên tục hệ thống quản lý an toàn thông tin (SMS) Mục tiêu chính của quản trị an toàn thông tin là bảo đảm tính bảo mật, toàn vẹn và khả dụng của thông tin

1.2 Đặc điểm của môi trường đa nền tảng và đám mây

1.2.1 Môi trường đu nền tảng

Đa nên tảng là một thuật ngữ để chỉ các phần mềm hay phương thức điện

toán được vận hành cùng nhau trên nhiêu nên tảng Như vậy, một phân mêm

10

được gọi là đa nền tảng khi và chỉ khi nó có khả năng hoạt động trên nhiều hơn

một hệ điều hành hay kiến trúc máy tính

Trong thời đại công nghệ số hiện nay, để phục vụ cho các đối tượng sử dụng nhiều nền tảng khác nhau đến từ iOS, Android hay Windows Phone, ta cần phải tạo ra các ứng dụng đa nền tảng (cross-platform hay multi-platform)

Môi trường đa nền tảng là môi trường mà các ứng dụng và hệ thống có thế hoạt động trên nhiều hệ điều hành và thiết bị khác nhau Đặc điểm này giúp tăng tính linh hoạt và khả năng tương thích, nhưng đồng thời cũng làm tăng độ phức

tạp và rủi ro về an toàn thông tin

1.2.2 Dién toan dam may

Điện toán đám mây là mô hình cung cấp tài nguyên tính toán như địch vụ qua Internet, cho phép người dùng truy cập và sử dụng tải nguyên này mọi lúc, mọi nơi Các dịch vụ đám mây bao gồm hạ tầng như dịch vụ (IaaS), nền tảng như dịch vụ (PaaS) và phần mềm như dịch vụ (SaaS)

Theo Viện Tiêu chuân và Công nghệ Mỹ (NIST), điện toán đám mây được định nghĩa như sau: “Cloud Computing là mô hình dịch vụ cho phép người truy cập tải nguyên điện toán dùng chung (mạng, server, lưu trữ, ứng dụng, dịch vụ) thông qua kết nỗi mạng một cách dễ đàng, mọi lúc, mọi nơi, theo yêu cầu Tài nguyên điện toán đám mây có thê được thiết lập hoặc hủy bỏ nhanh chóng bởi người dùng mà không cần sự can thiệp của Nhà cung cấp dịch vụ”

1.3 Các rủi ro trong môi trường đa nền tản và đám mây

1.3.1 Rúi ro về dữ liệu

Mat dữ liệu

Mắt đữ liệu là một trong những rủi ro nghiêm trọng nhất trong môi trường đa

nên tảng và đám mây Điều này có thê xảy ra do lỗi phần cứng, lỗi phần mềm,

hay thậm chí do thao tác nhằm của người dùng

11

Ví dụ, một lỗi trong hệ thống sao lưu có thể dẫn đến việc dữ liệu quan trọng không được sao lưu đúng cách, gây ra mắt mát dữ liệu khi cần khôi phục

Đánh cắp đữ liệu

Đánh cắp dữ liệu xảy ra khi tin tặc hoặc người dùng trái phép truy cập vào hệ thông và lây cắp thông tin nhạy cảm Các cuộc tấn công này thường nhằm vào lỗ hồng bảo mật hoặc qua các phương pháp tấn công như phishing, malware Việc đánh cắp đữ liệu không chỉ gây thiệt hại tài chính mà còn làm mat uy tin cua tô chức

Sử dụng không đúng mục đích

Dữ liệu có thể bị sử dụng cho các mục đích không được phép hoặc không hợp lệ Ví dụ, nhân viên có thé truy cập va su dung đữ liệu khách hàng cho mục

đích cá nhân hoặc bán thông tin cho bên thứ ba Điều nảy không chỉ vi phạm

chính sách bảo mật của tô chức mà còn gây ra các vấn đề pháp lý nghiêm trọng

Lỗ hồng bảo mật

Lỗ hồng bảo mật trong phần mềm hoặc hệ thống có thể bị khai thác để tan công hoặc đánh cắp dữ liệu Các lỗ hông này có thể do lỗi trong thiết kế phần mềm, cấu hình hệ thống không đúng hoặc do không được cập nhật bản vá bảo

mat kip thoi

Ví dụ, lỗ hồng trong một ứng dụng web có thể bị khai thác đề lấy cắp thông tin người dùng hoặc phá hoại đữ liệu

1.3.2 Rúi ro về truy cập

Xâm nhập không cần thiết

Người dùng hoặc các hệ thống có thể có quyền truy cập vào đữ liệu hoặc tải nguyên mà họ không cần thiết phải sử dụng Việc này làm tăng nguy cơ rò rỉ hoặc lạm dụng đữ liệu

Ví dụ, một nhân viên phòng kinh doanh có thê không cần thiết phải truy cập vào thông tin tài chính của công ty

12

Truy cap trai phép

Truy cập vào hệ thông hoặc dữ liệu mà không có quyền hợp lệ có thê dẫn đến việc lạm dụng hoặc phá hoại dữ liệu Các phương thức tấn công phố biến bao gồm brute force attack (tấn công bẻ khóa mật khẩu), phishing (lừa đảo qua email)

và sử dụng các lỗ hông bảo mật để xâm nhập hệ thống

Quản lý truy cập không hiệu quả

Quản lý kém về quyền truy cập có thê dẫn đến việc cấp quyền không đúng, làm tăng nguy cơ xâm phạm an toàn thong tin

Ví dụ, một tô chức không có chính sách quản lý quyền truy cập rõ ràng có thể dẫn đến việc nhiều người dùng có quyền truy cập vào các dữ liệu nhạy cảm

mà không cần thiết

1.3.3 Rúi ro về bảo mật

Lỗ hồng bảo mật

Cac 16 hồng trong phần mềm hoặc hệ thống có thể bị khai thác bởi các tin tặc

để tắn công hoặc xâm nhập vào hệ thống Các lỗ hông này thường xuất hiện do lỗi lập trình, cấu hình sai hoặc do không được cập nhật kịp thời

Ví dụ, lỗ hồng trong giao thức SSL/TLS có thê bị khai thác dé thực hiện các

cuộc tấn công man-in-the-middle

Tan công mang

Các cuộc tấn công mạng như tấn công DDoS (Distributed Denial of Service), tấn công phishing, hoặc malware có thế làm gián đoạn hoạt động hoặc đánh cắp

thông tin Tấn công DDoS nhằm làm tê liệt hệ thống bằng cách gửi một lượng

lon yéu cau dén may chu, trong khi phishing va malware nham đánh cắp thông tin nhạy cảm của người dùng

Xác thực không đáng tin cậy

Các phương pháp xác thực yếu hoặc không đủ mạnh có thể bị vượt qua, cho phép truy cập trái phép vào hệ thông

13

Vi du, việc sử dụng mật khâu đơn giản hoặc không thực hiện xác thực hai yếu tổ (2FA) có thể làm tăng nguy cơ bị tấn công Các tin tặc có thế đễ dàng dò mật khâu hoặc sử dụng kỹ thuật phishing dé lay cắp thông tin đăng nhập

Quản lý lỗi không hiệu quả

Việc xử lý và quản lý lỗi không hiệu quả có thể làm lộ các lỗ hồng bảo mật

hoặc gây ra sự có hệ thống nghiêm trọng

Ví dụ, khi phát hiện lỗ hông bảo mật, nếu không có quy trình xử lý nhanh

chóng và hiệu quả, kẻ tấn công có thể khai thác lỗ hồng nảy trước khi nó được

vá

1.3.4 Rúi ro về tuân thủ pháp luật

Không tuân thủ quy định pháp luật

Sử dụng dịch vụ đám mây có thê gặp khó khăn trong việc tuân thủ các quy định và tiêu chuẩn pháp lý, đặc biệt khi dữ liệu được lưu trữ va xu ly qua nhiều quốc gia

Ví dụ, các quy định về bảo vệ dữ liệu cá nhân ở Châu Âu (GDPR) có thê

khác so với ở Mỹ (CCPA), dẫn đến khó khăn trong việc đảm bảo tuân thủ

Vấn đề về quyền riêng tư

Bảo vệ quyền riêng tư của người dùng là một thách thức lớn khi dữ liệu được lưu trữ trên đám mây, do sự khác biệt về luật pháp và quy định giữa các quốc gia Việc xử lý đữ liệu cá nhân phải tuân thủ các quy định nghiêm ngặt về quyền

riêng tư, và bất kỳ vi phạm nào cũng có thể dẫn đến hậu quả pháp lý nghiêm trọng

Vị dụ, việc không tuân thủ GDPR có thể dẫn đến các khoản phat rất lớn đối với doanh nghiệp

Những rủi ro trên đòi hỏi các tổ chức phải có các biện pháp quản lý và bảo mật chặt chẽ, từ việc đánh giá và kiểm soát quyền truy cập, đến việc cập nhật và

vá lỗi phần mềm kịp thời, và tuân thủ các quy định pháp lý liên quan Việc nhận

14

thức và quản ly tốt các rủi ro này sẽ giúp bảo vệ thông tin và đảm bảo hoạt động

Quản lý danh tính

Sử dụng hệ thống quản lý danh tính (Identity Management Systems - IdMS)

để quản lý và theo dõi danh tính người dùng, đảm bảo rằng mọi người dùng và

thiết bị được xác thực và ủy quyền trước khi truy cập vào hệ thống

- Mã hóa dữ liệu:

MGé hoa dit liéu lieu trie (Data at Rest)

Su dung cac phuong phap ma hoa manh mé nhu AES (Advanced Encryption Standard) để bảo vệ dữ liệu lưu trữ trên các thiết bị và hệ thống lưu trữ Điều này đảm bảo rằng dữ liệu không thể đọc được nếu bị truy cập trái phép

Mã hóa đữ liệu truyén tai (Data in Transit)

Str dung cac giao thire ma hoa nhu TLS (Transport Layer Security) dé bao vé

dữ liệu trong quá trình truyền tải qua mạng Điều này giúp ngăn chặn việc nghe lén và đánh cắp dữ liệu trong quá trình truyền tải

- Giám sát và phát hiện:

15

Giam sát liên tục

Triển khai các hệ thống giám sát an ninh mạng (SIEM) để theo đõi và phân

tích các hoạt động trong mạng và hệ thống theo thời gian thực Điều nảy giúp phát hiện sớm các hành vi bất thường hoặc nghi ngờ xâm nhập

Phát hiện xâm nhập

Sử dụng hệ thống phát hiện và ngăn chặn xâm nhập (IDS/IPS) để phát hiện

và ngăn chặn các cuộc tân công mạng trước khi chúng sây thiệt hại cho hệ thống

Thực hiện đánh giá rủi ro thường xuyên để xác định và đánh giá các mối đe

dọa và lỗ hồng bảo mật, từ đó xác định các biện pháp cần thiết để giảm thiểu rủi

Kiểm tra bảo mật ứng dụng

Thực hiện kiểm tra bảo mật định kỳ cho các ứng dụng để phát hiện và vá lỗi

các lỗ hồng bảo mật trước khi chúng bị khai thác

1ó

Tường lứa ứng dụng (W/1T)

Sử dụng tường lửa ứng dụng web đề bảo vệ các ứng dụng khỏi các cuộc tan công như SQL injection, cross-site scripting (XSS), và các cuộc tân công web khác

Thiết lập các cơ chế dự phòng và khôi phục đữ liệu để đảm bảo rằng đữ liệu

có thể được phục hồi nhanh chóng trong trường hợp xảy ra sự cô

Phân loại đữ liệu

Phân loại dữ liệu theo mức độ nhạy cảm và áp dụng các biện pháp bảo vệ tương ứng để đảm bảo an toàn thông tin

- An ninh mạng và đám mây:

Bảo mật mạng

Sử dụng các công cụ bảo mật mạng như tường lửa, IDS/IPS, và các công cụ giám sát mạng để bảo vệ mạng khỏi các cuộc tấn công

Bao mat dam may

Sử dụng các công cụ và dịch vụ bảo mật đám may nhu Cloud Security Posture Management (CSPM) va Cloud Access Security Broker (CASB) dé bao

vé cac tai nguyén và dữ liệu lưu trữ trên đám mây

17

1.4.2 Biện pháp tô chức

- Xây dựng chính sách và quy trình:

Chính sách an toàn thông tin

Thiết lập và thực hiện các chính sách an toàn thông tin toàn diện để hướng dẫn và điều chỉnh các hoạt động bảo mật trong tô chức

Quy trình quản lý sự cố

Thiết lập quy trình quản lý sự cố rõ ràng và hiệu quả để xử lý kịp thời các sự

cố bảo mật

- Tổ chức đội ngũ chuyên trách:

Ban an nình thông tin

Thành lập ban an ninh thông tin để quản lý và giám sát các hoạt động bảo mật trong tổ chức

Giám đốc an nình thông tin

Bồ nhiệm một CISO chịu trách nhiệm điều hành và chỉ đạo các hoạt động an toàn thông tin trong tổ chức

- Quản lý rủi ro:

Đánh giá rủi ro

Thực hiện đánh giá rủi ro định kỳ để xác định và đánh giá các mỗi đe dọa và

lỗ hồng bảo mật

Kế hoạch quản lý rủi ro

Thiết lập kế hoạch quản lý rủi ro để xác định các biện pháp cần thiết nhằm giảm thiểu rúi ro và bảo vệ thông tin

- Kiểm toán và đánh gia:

Kiểm toán an toàn thông tin

18

Thuc hién kiém toan an toan théng tin dinh ky dé dam bao tuân thủ các chính sách và quy trình bảo mật, và xác định các cải tiễn cần thiết

1.4.3 Biện pháp pháp lý

- Tuân thủ quy định và luật pháp:

Tuật bảo vệ đữ liệu

Đảm bảo tuân thủ các luật bảo vệ dữ liệu như GDPR, CCPA và các quy định quốc gia khác đề bảo vệ quyền riêng tư và dữ liệu cá nhân

Quy định về an toàn thông tin

Tuân thủ các quy định và tiêu chuẩn an toàn thông tin để đảm bảo an toàn và bảo mật dữ liệu

- Hợp đồng và thỏa thuận:

Thỏa thuận cấp dich vụ (SLA)

Thiét lập các thỏa thuận cấp dịch vụ với nhà cung cấp dịch vụ để đảm bảo rằng các dịch vụ được cung cấp đáp ứng các yêu cầu bảo mật

Hop dong bao mat (NDA)

Su dung cac hop đồng bao mat dé bao vệ théng tin nhay cam va dam bao rằng các bên liên quan tuân thủ các yêu cầu bảo mật

- Quy định về quyền truy cập vả sử dụng:

Luật bảo vệ an mình mạng

Tuân thủ các luật bảo vệ an ninh mạng đê đảm bảo rắng tô chức đáp ứng các yêu cầu bảo mật và tránh các vi phạm pháp lý

Quy định về thông báo sự cố

Tuân thủ các quy định về thông báo sự cô để đảm bảo răng tô chức thông báo kịp thời về các sự cô bảo mật cho các cơ quan chức năng và bên liên quan

- Quản lý hợp đồng và tuân thủ:

Đánh giá rủi ro pháp lý

Thực hiện đánh giá rủi ro pháp lý để xác định và giảm thiểu các rủi ro liên quan đến pháp lý

Kiểm tra tuân thủ pháp lý

Thực hiện kiểm tra tuân thủ pháp lý để đảm bảo rằng tô chức đáp ứng các

yêu cầu pháp lý và quy định bảo mật

1.4.4 Biện pháp sử dụng công nghệ

- Công cụ bảo mật mạng:

Tường lứa (Pirewalis)

Sử dụng tường lửa để kiểm soát và quản lý lưu lượng mạng, ngăn chặn các truy cập không mong muốn và bảo vệ hệ thông khỏi các cuộc tấn công mạng

Hệ thống phát hiện và ngăn chặn xâm nhập (IDS1PS)

Sử dụng hệ thông IDS/IPS để phát hiện và ngăn chặn các cuộc tắn công xâm nhập, bảo vệ hệ thống và đữ liệu khỏi các mối đe dọa

- Công cụ bảo mật dữ liệu:

Mé hoa die liéu (Data Encryption)

Sử dụng các công cụ mã hóa đữ liệu để bảo vệ dữ liệu trong quá trinh lưu trữ

và truyên tải

20

Hé thong quan ly khoa (Key Management Systems - KMS)

Sử dụng hệ thống quản lý khóa để quản lý và bảo vệ các khóa mã hóa, đảm bảo rằng chỉ những người được ủy quyền mới có thé truy cập vào dữ liệu mã hóa

- Công cụ giám sát và phát hiện:

Hệ thống thông tin va quan ly su kién bao mat (SIEM)

Su dung hé thống SIEM để giam sat và phân tích các sự kiện bảo mật, phát

hiện và phản ứng kịp thời với các mối đe dọa

Phân tích hành vi người dùng và thực thê (UEB4)

Sử dụng công cụ UEBA để phân tích hành vi của người dùng và các thực thé, phát hiện các hành vi bất thường và ngăn chặn các cuộc tấn công tiềm năng

- Công cụ bảo mật ứng dụng:

Kiểm thứ bảo mật tự déng (Automated Security Testing)

Sử dụng công cụ kiêm thử bảo mật tự động để kiểm tra và phát hiện các lỗ hồng bảo mật trong các ứng dụng

Tường lứa ứng dụng web (W1)

Sử dụng WAFE để bảo vệ các ứng dụng web khỏi các cuộc tân công như SQL injection, XSS, va cac cuộc tân công khác

- Công cụ bảo mật đám mây:

Hệ thống quan ly te thé an ninh dam may - Cloud Security Posture Management (CSPM)

Sử dụng CSPM để giám sát và quản lý cầu hình bảo mật đám mây, đảm bao

rang cac cau hinh dam mây tuân thủ các tiêu chuân bảo mật

Trình thực thì chính sách bảo mật truy cép dam may - Cloud Access Security Broker (CASB)

Su dung CASB để kiểm soát và bảo vệ việc truy cập vào các dịch vụ đám may, dam bao rắng dữ liệu và ứng dụng trên đám mây được bảo vệ an toàn

21

- Công cụ quản lý quyền truy cập:

Hệ thống quản lý danh tính (IlảMS)

Sử dụng hệ thống IdMS để quản lý danh tính và quyền truy cập của người dùng, đảm bảo rằng chỉ những người được ủy quyền mới có thể truy cập vào hệ thống

Xác thực đa yếu tố (M24)

Sw dung MFA để tăng cường bảo mật truy cập, yêu cầu người dùng xác thực bằng nhiều yếu tố để đảm bảo tính an toàn

- Công cụ quản ly bản vá và cập nhật:

Công cụ quản lý bản vá phân mêm - Patch Management Tools

Sử dụng các công cụ quản lý bản vá đề đảm bảo răng tat cả các hệ thông và phần mềm đều được cập nhật và vá lỗi kịp thời

Quản lý lỗ hong bao mat - Vulnerability Management Systems

Sử dụng hệ thống quản lý lỗ hồng để phát hiện và quản lý các lỗ hông bảo mật trong hệ thông và phân mềm

- Công cụ quản lý sự cô:

Phần mêm quan ly sw co

Sử dụng phân mêm quản lý sự cô đề theo dõi và quản ly các sự cô bảo mật, đảm bảo rằng các sự cố được xử lý kịp thời và hiệu quả

Công cụ điều tra phương tiện lưu trữ - Forensics Tbols

Sử dụng các công cụ pháp y để điều tra và phân tích các sự cố bảo mật, giúp xác định nguyên nhân và biện pháp khắc phục

22