XÂY DỰNG QUY TRÌNH BẢO ĐẢM AN TOÀN THÔNG TIN THEO CHUẨN ISO27001 CHO CÁC DOANH NGHIỆP VỪA VÀ NHỎ TẠI VIỆT NAMXÂY DỰNG QUY TRÌNH BẢO ĐẢM AN TOÀN THÔNG TIN THEO CHUẨN ISO27001 CHO CÁC DOANH NGHIỆP VỪA VÀ NHỎ TẠI VIỆT NAMXÂY DỰNG QUY TRÌNH BẢO ĐẢM AN TOÀN THÔNG TIN THEO CHUẨN ISO27001 CHO CÁC DOANH NGHIỆP VỪA VÀ NHỎ TẠI VIỆT NAMXÂY DỰNG QUY TRÌNH BẢO ĐẢM AN TOÀN THÔNG TIN THEO CHUẨN ISO27001 CHO CÁC DOANH NGHIỆP VỪA VÀ NHỎ TẠI VIỆT NAMXÂY DỰNG QUY TRÌNH BẢO ĐẢM AN TOÀN THÔNG TIN THEO CHUẨN ISO27001 CHO CÁC DOANH NGHIỆP VỪA VÀ NHỎ TẠI VIỆT NAMXÂY DỰNG QUY TRÌNH BẢO ĐẢM AN TOÀN THÔNG TIN THEO CHUẨN ISO27001 CHO CÁC DOANH NGHIỆP VỪA VÀ NHỎ TẠI VIỆT NAMXÂY DỰNG QUY TRÌNH BẢO ĐẢM AN TOÀN THÔNG TIN THEO CHUẨN ISO27001 CHO CÁC DOANH NGHIỆP VỪA VÀ NHỎ TẠI VIỆT NAMXÂY DỰNG QUY TRÌNH BẢO ĐẢM AN TOÀN THÔNG TIN THEO CHUẨN ISO27001 CHO CÁC DOANH NGHIỆP VỪA VÀ NHỎ TẠI VIỆT NAM
ĐẠI HỌC QUỐC GIA HÀ NỘI TRƯỜNG ĐẠI HỌC CÔNG NGHỆ TRẦN KIÊN TÓM TẮT LUẬN VĂN XÂY DỰNG QUY TRÌNH BẢO ĐẢM AN TỒN THƠNG TIN THEO CHUẨN ISO27001 CHO CÁC DOANH NGHIỆP VỪA VÀ NHỎ TẠI VIỆT NAM LUẬN VĂN THẠC SĨ CÔNG NGHỆ THÔNG TIN Sự phát triển Internet Việt Nam đạt nhiều thành to lớn 15 năm qua, với số lượng gần 4,8 triệu thuê bao truy nhập Internet băng rộng cố định, 3,2 triệu hộ gia đình có kết nối Internet, 100% Bộ ngành, tỉnh thành phố có cổng thơng tin điện tử Hiện tại, theo xu hướng ứng dụng công nghệ thông tin vào sống ngày sâu rộng loại hình tội phạm mạng nguy làm an toàn thơng tin ngày đa dạng khó phòng chống Hệ thống máy tính tổ chức thường xun phải đối phó với cơng, xâm nhập trái phép, gây rò rỉ, mát thơng tin, chí dừng hoạt động, ảnh hưởng tiêu cực đến tiến độ, chất lượng cơng việc, kéo theo tổn thất kinh tế, uy tín tổ chức chí ảnh hưởng tới an ninh quốc gia Các cố liên quan đến an toàn thông tin (ATTT) Việt Nam Theo báo cáo nhiều tổ chức quốc tế an tồn thơng tin, Việt Nam mục tiêu hàng đầu khu vực cơng gián điệp có tổ chức, mà mục tiêu công quan, tổ chức quan trọng thuộc phủ tổ chức có sở hữu hạ tầng thông tin trọng yếu Theo ghi nhận trung tâm VNCERT số lượng loại vụ việc, cố an tồn thơng tin năm qua phát xửa lý ngày tăng Trong năm 2013-2015 trung tâm VNCERT ghi nhận 4.954.853 lượt địa IP Việt Nam bị mạng máy tính ma chiếm quyền điều khiển để đánh cắp thông tin phát tán mã độc, phát tán thư điện tử rác cơng mạng, có tới 12.480 lượt địa IP tĩnh quan nhà nước nằm mạng Chỉ tính riêng tháng đầu năm 2016 cố 127.000 Trong đó, Phishing: 8.758; Deface: 77.160; Malware: 41.712.1 Tâm điểm cố an toàn thông tin năm 2016 vụ tin tặc công vào vào số hình hiển thị thơng tin chuyến bay khu vực làm thủ tục bay sân bay như: Sân bay Tân Sơn Nhất, Sân bay Nội Bài, Sân bay Đà Nẵng, Sân bay Phú Quốc vào chiều 29 tháng 07 năm 2016 Các hình sân bay bị chèn hình ảnh nội dung câu chữ xúc phạm Việt Nam Philippines, xuyên tạc nội dung biển Đông Hệ Nguồn: Trung tâm Ứng cứu khẩn cấp máy tính Việt Nam thống phát sân bay phát thông điệp tương tự Đồng thời website Việt Nam Airlines bị hack với 411.000 liệu hành khách máy bay bị hacker thu thập phát tán Vụ việc gây thiệt hại làm cho 100 chuyến bay bị ảnh hưởng, hàng chục chuyến bay bị chậm giờ từ 15 phút tiếng Tại sân bay Nội Bài tất hình loa phát tạm thời ngưng hoạt động để ngăn chặn hacker phát thông tin giả mạo Các hãng hàng sử dụng loa tay để thông báo cho khách Bên cạnh rủi ro an tồn thơng tin (ATTT) bị cơng phá hoại có chủ đích, đáng ý nhiều đơn vị cố liên quan đến an tồn thơng tin nằm hệ thống mạng Các nguyên nhân chủ yếu là: Các quy trình quản lý, vận hành khơng đảm bảo; việc quản lý quyền truy cập chưa kiểm tra xem xét định kỳ; nhận thức nhân viên việc sử dụng trao đổi thông tin chưa đầy đủ; lực cán kỹ thuật yếu, thiếu cán chun mơn thiếu trang bị kỹ thuật tối thiểu… Do đó, ngồi biện pháp kỹ thuật, tổ chức cần xây dựng áp dụng sách, quy định, quy trình vận hành phù hợp để giảm thiểu rủi ro Giải pháp ISO27001 Giải pháp toàn diện hiệu để giải vấn đề hệ thống doanh nghiệp cần xây dựng, triển khai quy trình bảo vệ ATTT theo tiêu chuẩn ISO27001 Việc triển khai quy trình đáp ứng tiêu chuẩn ISO27001 sẽ giúp hoạt động đảm bảo ATTT tổ chức quản lý chặt chẽ, đạt số lợi ích sau: - Bảo vệ thông tin tổ chức, khách hàng đối tác - Nhân viên tuân thủ có thói quen đảm bảo ANTT - Hoạt động đảm bảo ANTT ln trì cải tiến - Hoạt động nghiệp vụ trọng yếu tổ chức không bị gián đoạn - Nâng cao uy tín tổ chức, tăng sức mạnh cạnh tranh Thực trạng triển khai ISO27001 Việt Nam Hiện tại Việt Nam việc xây dựng, triển khai quy trình bảo vệ ATTT theo tiêu chuẩn ISO27001 hạn chế Chủ yếu doanh nghiệp lớn doanh nghiệp có vốn đầu tư nước quan tâm đến việc đầu tư, xây dựng triển khai - Tháng 2/2006: Tổng cục Tiêu chuẩn Đo lường Chất lượng Việt Nam ban hành tiêu chuẩn TCVN 7562: 2005 – Công nghệ thông tin – Mã thực hành quản lý an tồn thơng tin, (tương đương với tiêu chuẩn ISO/IEC 17799: 2000) Tiêu chuẩn đề hướng dẫn thực hệ thống quản lý an ninh thông tin làm sở cho ISO27001 - Tháng 1/2007: Công ty CSC Việt Nam (Computer Sciences Corporation) trở thành đơn vị có chứng nhận ISO27001 - Đến tháng 7/2013 ở Việt Nam có đơn vị (CSC Việt Nam, FPT IS, FPT Soft, GHP FarEast, ISB Corporation Vietnam…) đạt chứng nhận ISO27001 10 đơn vị (HPT Soft, VietUnion, Quantic…) trình triển khai ứng dụng tiêu chuẩn - Đến hết năm 2012, Việt Nam có 249 chứng ISO27001 - Năm 2014, Việt Nam cấp 94 chứng ISO27001, nhiều so với năm 2013 2012 55 50 chứng Cũng qua số liệu này, thấy số đơn vị đạt chứng nhận ISO27001 Việt Nam khiêm tốn so với Nhật Bản (53290 chứng nhận), Trung Quốc (8294 chứng nhận), Malaixia (759 chứng nhận) Một nguyên nhân tình trạng chi phí để đạt chứng nhận ISO27001 cao, bao gồm chi phí tư vấn, cấp chứng nhận đặc biệt chi phí doanh nghiệp phải bỏ để thực biện pháp kiểm soát rủi ro Vấn đề doanh nghiệp vừa nhỏ Việt Nam việc áp dụng triển khai ISO27001 Các doanh nghiệp ở Việt Nam chủ yếu doanh nghiệp có quy mơ vừa nhỏ2, chiếm 94.8%3 nên nguồn lực hạn chế nên quan tâm đến lĩnh vực áp chuẩn quản lý chất lượng quốc tế ISO27001 chưa nhiều Nguyên nhân thực trạng sau: Ở Việt Nam, theo Điều 3, Nghị định số 56/2009/NĐ-CP ngày 30/6/2009 Chính phủ, quy định số lượng lao động trung bình hàng năm từ 10 người trở xuống coi doanh nghiệp siêu nhỏ, từ 10 đến 200 người lao động coi Doanh nghiệp nhỏ từ 200 đến 300 người lao động coi Doanh nghiệp vừa Nguồn: “Báo cáo tổng quan tình hình doanh nghiệp” báo cáo phục vụ Hội nghị Thủ tướng Chính phủ với doanh nghiệp - Nhận thức toàn tổ chức việc đảm bảo ANTT, lợi ích triển khai áp dụng Hệ thống quản lý ANTT chưa cao - Chi phí để áp dụng cao, đặc biệt chi phí doanh nghiệp phải bỏ để thực biện pháp kiểm sốt rủi ro - Khó khăn triển khai: phối hợp không tốt phận, không cam kết nguồn lực tham gia áp lực thời gian - Sự quan tâm, cam kết thực lãnh đạo chưa cao - Đầu tư (nguồn lực, tài chính) bị hạn chế Mục tiêu luận văn Với mong muốn đóng góp phần nhỏ công sức cho doanh nghiệp nước nhà việc đảm bảo an tồn thơng tin, nơi mà tỷ lệ doanh nghiệp vừa nhỏ chiếm đa số, luận văn sẽ tập trung tìm hiểu ISO27001, chọn doanh nghiệp vừa nhỏ đặc trưng tiến hành xây dựng quy trình đáp ứng tiêu chuẩn ISO27001 cho doanh nghiệp với công sức mặt chi phí thời gian giảm thiểu, phù hợp với đặc trưng doanh nghiệp vừa nhỏ có nguồn lực (chi phí thời gian) hạn chế Với tinh thần đó, luận văn bố cục thành 04 chương sau: - Mở đầu Phần sẽ nêu vấn đề, thực trạng việc áp dụng tiêu chuẩn đảm bảo an tồn thơng tin theo chuẩn ISO27001 doanh nghiệp Việt Nam, vấn đề gặp phải doanh nghiệp vừa nhỏ tiến hành áp dụng tiêu chuẩn đưa mục tiêu việc giải vấn đề luận văn - Chương 1: Giới thiệu ISO27001 Chương sẽ tập trung giới thiệu khái niệm ISO27001, cấu trúc, nội dung, điều khoản phải tuân thủ áp dụng ISO27001 - Chương 2: Khảo sát doanh nghiệp SME cụ thể bảo đảm an tồn thơng tin Chương sẽ chọn doanh nghiệp SME tiêu biểu việc đảm bảo an tồn thơng tin, giới thiệu cấu tổ chức, nhân sự, lĩnh vực hoạt động kinh doanh… u cầu đảm bảo an tồn thơng tin bên liên quan Sau sẽ tiến hành khảo sát thực trạng bảo đảm an tồn thơng tin doanh nghiệp SME lựa chọn dựa việc liệt kê tài sản doanh nghiệp, phân tích rủi ro, nguy đưa biện pháp kiểm soát - Chương 3: Đề xuất quy trình cho doanh nghiệp SME lựa chọn Sau tiến hành khảo sát doanh nghiệp SME lựa chọn ở chương 2, chương sẽ đề xuất xây dựng quy trình, sách, biện pháp, thủ tục… để đảm bảo an tồn thơng tin, giải vấn đề liên quan đến an tồn thơng tin mà doanh nghiệp gặp phải theo chuẩn ISO27001 - Chương 4: Kết luận Sau đề xuất, xây dựng quy trình ở chương 3, chương sẽ đánh giá mặt mặt chưa quy trình xây dựng Sau sẽ tiến hành đề xuất hướng phát triển luận văn, tiếp tục tìm hiểu doanh nghiệp vừa nhỏ đặc trưng khác việc bảo đảm an tồn thơng tin, rút nét đặc trưng để xây dựng tảng quy trình chung, với mục đích đóng góp phần cơng sức cho doanh nghiệp vừa nhỏ Việt Nam việc đảm bảo an tồn thơng tin, vấn đề nhức nhối 10 Các kết luận văn làm Với dân số 90 triệu người, gần 44% sử dụng Internet, nhiều người truy cập sử dụng Internet thiết bị di động, thị trường công nghệ phát triển Việt Nam Việt Nam trở thành mục tiêu nhà phát triển ứng dụng nhà đầu tư nước để mắt Nhiều tập đoàn đa quốc gia Samsung Intel có diện vơ lớn đây, startup công nghệ Việt Nam nhanh chóng nhập Tuy chưa có số liệu thức tranh khởi nghiệp Việt Nam, tập đồn Softbank Nhật Bản ước tính có khoảng 1.500 startup hoạt động, phần lớn startup liên quan đến công nghệ, từ số thấy Việt Nam có tỉ lệ startup số dân cao hẳn láng giềng Trung Quốc, Indonesia Ấn Độ.4 Đặc điểm startup công nghệ ở Việt Nam quy mô ở mức vừa nhỏ, doanh nghiệp tập trung phần lớn công sức, thời gian vào việc phát triển kinh doanh, tìm kiếm ý tưởng, sáng tạo, sản xuất sản phẩm ứng dụng công nghệ mới… chưa để ý, dành thời gian, công sức, chưa hiểu rõ phương pháp tiếp Theo http://ictnews.vn 11 cận đến việc đảm bảo an tồn thơng tin cho doanh nghiệp Sau lựa chọn doanh nghiệp vừa nhỏ đặc thù, với lĩnh vực hoạt động liên quan đến công nghệ thông tin, cụ thể sản xuất phân phối game online điện thoại di động, ngành nhiều tiềm phát triển Việt Nam, tiến hành khảo sát thực trạng đảm bảo an tồn thơng tin doanh nghiệp này, xác định rủi ro, nguy đưa biện pháp kiểm soát, luận văn xây dựng cho doanh nghiệp sách, quy trình, quy định việc đảm bảo an tồn thơng tin theo tiêu chuẩn ISO27001, cụ thể sau: 01 sách lĩnh vực: - Kiểm soát truy cập - Quản lý truyền thông hoạt động - An ninh môi trường vật lý - An ninh cá nhân - Đào tạo nhân viên 04 quy trình: 12 - Quy trình đo lường hệ thống quản lý an tồn thơng tin - Quy trình quản lý source code, mềm tài liệu - Quy trình giáo dục nhận thức, đào tạo an tồn thơng tin - Quy trình hành động phòng ngừa hệ thống quản lý an tồn thơng tin 02 quy định: - 01 quy định chung nhân viên - 01 quy định việc phải làm việc không làm nhân viên Các tiêu chuẩn ISO27001 áp dụng 01 sách, 04 quy trình 02 quy định tuân thủ tiêu chuẩn sau ISO27001: - điều khoản bắt buộc phạm vi tổ chức, lãnh đạo, lập kế hoạch, hỗ trợ, vận hành hệ thống, đánh giá hiệu hệ thống, cải tiến hệ thống 13 - Các lĩnh vực kiểm soát liên quan bao gồm: sách ATTT, ATTT tổ chức, ATTT nhân sự, quản lý tài sản, kiểm soát truy cập, ATTT vật lý nơi làm việc, ATTT trình vận hành, quản lý cố ATTT, đảm bảo tính hoạt động liên tục trường hợp thảm họa tuân thủ Những lợi điểm mà sách, quy trình quy định mang lại Luận văn giải khó khăn mà doanh nghiệp vừa nhỏ gặp phải việc đảm bảo an tồn thơng tin: - Nâng cao nhận thức toàn tổ chức việc đảm bảo ANTT - Tiết kiệm chi phí doanh nghiệp phải bỏ để thực biện pháp kiểm soát rủi ro, chi phí nguồn lực tài giảm thiểu phù hợp với đặc trưng doanh nghiệp vừa nhỏ như: mặt nhân tham gia giảm thiểu bao gồm 01 nhân viên phụ trách việc xây dựng đảm bảo quy trình an tồn thơng tin theo tiêu chuẩn ISO27001 tổ chức, lãnh đạo tồn thể nhân viên phòng ban, mặt thời 14 gian xây dựng triển khai sách, quy trình quy định ngắn, dễ áp dụng cho doanh nghiệp vừa nhỏ, áp dụng nhiều công nghệ tiên tiến việc triển khai công cụ phần mềm việc quản lý tài liệu, source code, công cụ quản lý cố, công việc nhân viên cuối cùng, sẽ dẫn đến tiết kiệm chi phí tài phải bỏ cho doanh nghiệp - Việc triển khai sách, quy trình quy định việc đảm bảo an tồn thơng tin tinh giản nâng cao hiệu việc phối hợp, trao đổi phận - Nâng cao nhận thức cam kết thực lãnh đạo Tuy nhiên với thời gian khảo sát ngắn chưa liệt kê tất vấn đề mà doanh nghiệp gặp phải việc đảm bảo an tồn thơng tin, tiến hành sách, quy trình quy định, sẽ gặp phải vấn đề phát sinh, cần tiếp tục điều chỉnh, sửa đổi bổ sung cho phù hợp với thực tế doanh nghiệp 15 Hướng phát triển Hướng tiếp theo, tơi có đề xuất sẽ tiếp tục tiến hành khảo sát doanh nghiệp vừa nhỏ đặc trưng lĩnh vực khác công nghiệp, dịch vụ vấn đề đảm bảo an tồn thơng tin, xây dựng, triển khai sách, quy trình quy định cho doanh nghiệp Từ kết thực tiễn thu được, luận văn mong muốn từ khái qt khung sách, quy trình quy định đảm bảo an tồn thơng tin theo chuẩn ISO27001 cho doanh nghiệp vừa nhỏ Việt Nam Hy vọng với khung sách, quy trình quy định cho doanh nghiệp vừa nhỏ Việt Nam việc đảm bảo an tồn thơng tin theo chuẩn ISO27001 này, sẽ giúp đỡ phần cho doanh nghiệp vừa nhỏ Việt Nam, chiếm gần 95% tổng số doanh nghiệp, đảm bảo an toàn an tồn thơng tin cho cơng ty startup, góp phần nhỏ bé vào công xây dựng bảo vệ đất nước 16 ... thơng tin theo chuẩn ISO27001 cho doanh nghiệp vừa nhỏ Việt Nam Hy vọng với khung sách, quy trình quy định cho doanh nghiệp vừa nhỏ Việt Nam việc đảm bảo an tồn thơng tin theo chuẩn ISO27001. .. sẽ giúp đỡ phần cho doanh nghiệp vừa nhỏ Việt Nam, chiếm gần 95% tổng số doanh nghiệp, đảm bảo an toàn an tồn thơng tin cho cơng ty startup, góp phần nhỏ bé vào công xây dựng bảo vệ đất nước... hiểu doanh nghiệp vừa nhỏ đặc trưng khác việc bảo đảm an tồn thơng tin, rút nét đặc trưng để xây dựng tảng quy trình chung, với mục đích đóng góp phần cơng sức cho doanh nghiệp vừa nhỏ Việt Nam