Rủi ro và phòng tránh rủi ro trong các giao dịch thương mại điện tử (Luận văn thạc sĩ)Rủi ro và phòng tránh rủi ro trong các giao dịch thương mại điện tử (Luận văn thạc sĩ)Rủi ro và phòng tránh rủi ro trong các giao dịch thương mại điện tử (Luận văn thạc sĩ)Rủi ro và phòng tránh rủi ro trong các giao dịch thương mại điện tử (Luận văn thạc sĩ)Rủi ro và phòng tránh rủi ro trong các giao dịch thương mại điện tử (Luận văn thạc sĩ)Rủi ro và phòng tránh rủi ro trong các giao dịch thương mại điện tử (Luận văn thạc sĩ)Rủi ro và phòng tránh rủi ro trong các giao dịch thương mại điện tử (Luận văn thạc sĩ)Rủi ro và phòng tránh rủi ro trong các giao dịch thương mại điện tử (Luận văn thạc sĩ)Rủi ro và phòng tránh rủi ro trong các giao dịch thương mại điện tử (Luận văn thạc sĩ)
BỘ GIÁO DỤC VÀ ĐÀO TẠO TRƢỜNG ĐẠI HỌC NGOẠI THƢƠNG LUẬN VĂN THẠC SỸ ĐỀ TÀI: RỦI RO VÀ PHÒNG TRÁNH RỦI RO TRONG CÁC GIAO DỊCH THƢƠNG MẠI ĐIỆN TỬ CHUYÊN NGÀNH: QUẢN TRỊ KINH DOANH NGUYỄN THÀNH TRUNG HÀ NỘI - 2018 BỘ GIÁO DỤC VÀ ĐÀO TẠO TRƢỜNG ĐẠI HỌC NGOẠI THƢƠNG LUẬN VĂN THẠC SỸ ĐỀ TÀI: RỦI RO VÀ PHÒNG TRÁNH RỦI RO TRONG CÁC GIAO DỊCH THƢƠNG MẠI ĐIỆN TỬ NGÀNH: KINH DOANH CHUYÊN NGÀNH: QUẢN TRỊ KINH DOANH MÃ SỐ: 8340101 HỌ VÀ TÊN HỌC VIÊN: NGUYỄN THÀNH TRUNG NGƢỜI HƢỚNG DẪN: PGS,TS NGUYỄN VĂN THOAN HÀ NỘI - 2018 i LỜI CAM ĐOAN Tác giả xin cam đoan luận văn tự thân thực không chép cơng trình nghiên cứu người khác để làm sản phẩm riêng Các thơng tin thứ cấp sử dụng luận văn có nguồn gốc trích dẫn rõ ràng Tác giả hồn tồn chịu trách nhiệm tính xác thực nguyên luận văn Tác giả Nguyễn Thành Trung ii LỜI CẢM ƠN Trước tiên, xin gửi lời cảm ơn tới tất thầy cô giảng dạy chương trình Cao học Quản trị Kinh doanh K23A truyền đạt cho phương pháp nghiên cứu khoa học kiến thức hữu ích kinh doanh, thương mại điện tử, chiến lược, quản trị chiến lược, marketing,… làm sở cho thực tốt luận văn thạc sĩ chuyên ngành quản trị kinh doanh với đề tài: “Rủi ro phòng tránh rủi ro giao dịch thương mại điện tử” Tôi xin gửi lời cảm ơn chân thành tới PGS.TS Nguyễn Văn Thoan, người tận tình hướng dẫn tơi thời gian thực luận văn Tôi xin gửi lời cảm ơn đến cán lãnh đạo, anh chị em đồng nghiệp đơn vị công tác giúp đỡ, tạo điều kiện cho tơi q trình học tập, thực luận văn góp ý cho tơi để hồn thành luận văn cách tốt Do thời gian có hạn kinh nghiệm nghiên cứu khoa học chưa nhiều nên luận văn nhiều thiếu sót, tơi mong nhận ý kiến đóng góp thầy cô anh chị học viên để luận văn hoàn thiện Xin chân thành cảm ơn! Tác giả Nguyễn Thành Trung iii MỤC LỤC LỜI CAM ĐOAN i LỜI CẢM ƠN ii MỤC LỤC iii DANH MỤC CHỮ VIẾT TẮT vi DANH MỤC BẢNG BIỂU, SƠ ĐỒ viii TÓM TẮT KẾT QUẢ NGHIÊN CỨU LUẬN VĂN x LỜI MỞ ĐẦU .1 Tính cấp thiết đề tài Tình hình nghiên cứu ngồi nƣớc Mục đích nghiên cứu Đối tƣợng, phạm vi nghiên cứu Phƣơng pháp nghiên cứu Kết cấu luận văn CHƢƠNG I: TỔNG QUAN VỀ THƢƠNG MẠI ĐIỆN TỬ VÀ RỦI RO TRONG THƢƠNG MẠI ĐIỆN TỬ .5 1.1 Tổng quan thƣơng mại điện tử 1.1.1 Khái niệm thương mại điện tử 1.1.2 Phân loại thương mại điện tử 1.1.3 Vai trò thương mại điện tử với kinh tế 10 1.2 Tổng quan rủi ro rủi ro TMĐT 13 1.2.1 Khái niệm rủi ro, rủi ro thương mại điện tử 13 1.2.2 Một số rủi ro thường gặp giao dịch TMĐT 15 1.3 Tấn công mạng giới Việt Nam 21 iv 1.3.1 Trên giới 21 1.3.2 Tại Việt Nam 22 CHƢƠNG II: THỰC TRẠNG GIAO DỊCH THƢƠNG MẠI ĐIỆN TỬ, RỦI RO TRONG THƢƠNG MẠI ĐIỆN TỬ TRÊN THẾ GIỚI VÀ VIỆT NAM 25 2.1 Giao dịch thƣơng mại điện tử 25 2.1.1 Khái niệm giao dịch TMĐT 25 2.1.2 Phân biệt giao dịch thương mại truyền thống giao dịch TMĐT 25 2.1.3 Các loại hình giao dịch TMĐT 27 2.1.4 Một số mơ hình TMĐT điển hình 29 2.1.5 Thanh toán TMĐT 34 2.2 Rủi ro thƣờng gặp giao dịch thƣơng mại điện tử giới 42 2.2.1 Rủi ro đánh cắp liệu 42 2.2.2 Tấn công từ chối dịch vụ (DDoS) 44 2.3 Rủi ro thƣờng gặp giao dịch thƣơng mại điện tử Việt Nam 47 2.3.1 Thực trạng an tồn thơng tin 48 2.3.2 Một số trường hợp công mạng 49 CHƢƠNG III: GIẢI PHÁP PHÒNG TRÁNH RỦI RO TRONG GIAO DỊCH THƢƠNG MẠI ĐIỆN TỬ .56 3.1 Xu hƣớng phòng tránh rủi ro TMĐT 56 3.1.1 Giải pháp bảo mật liệu, an ninh mạng 56 3.1.2 Giải pháp công nghệ 66 3.1.3 Giải pháp quy trình, thủ tục 70 3.1.4 Tiêu chuẩn hóa (ISO) 70 3.2 Một số giải pháp phòng tránh rủi ro cho doanh nghiệp 73 v 3.2.1 Cải thiện hạ tầng bảo mật công nghệ thông tin 73 3.2.2 Sử dụng hình thức tốn an tồn 73 3.2.3 Thận trọng giao dịch 74 3.2.4 Chuẩn bị thủ tục pháp lý 74 3.3 Đề xuất giải pháp sách, tiêu chuẩn hóa 75 3.3.1 Nhóm giải pháp sách 75 3.3.2 Giải pháp tiêu chuẩn hóa 82 DANH MỤC TÀI LIỆU THAM KHẢO 90 vi DANH MỤC CHỮ VIẾT TẮT Từ viết tắt Tiếng Anh ATTT Tiếng Việt An tồn thơng tin B2B Business To Business Mơ hình giao dịch TMĐT doanh nghiệp với doanh nghiệp B2C Business To Consumer Mơ hình giao dịch TMĐT doanh nghiệp với cá nhân B2G Business To Government Mơ hình giao dịch TMĐT doanh nghiệp với quan nhà nước C2C Consumer To Consumer Mơ hình giao dịch TMĐT cá nhân với cá nhân CERT Computer Emergency Response Team Trung tâm ứng cứu khẩn cấp máy tính Cơng nghệ thơng tin CNTT DoS Denial of Service Từ chối dịch vụ EID Electronic Data Interchange Trao đổi liệu điện tử FEDI Financial Electronic Data Interchange Trao đổi liệu điện tử tài G2C Government To Consumer Mơ hình giao dịch TMĐT quan nhà nước với cá nhân vii Từ viết tắt ISMS Tiếng Anh Information Security Management System Organization for Economic Cooperation and Development TMĐT SME Hệ thống quản lý an tồn thơng tin Nhà xuất NXB OECD Tiếng Việt Tổ chức hợp tác phát triển kinh tế Thương Mại Điện Tử Small and Medium Enterprise Doanh nghiệp vừa nhỏ Tiến sĩ TS UNCITRAL United Nations Commission for International Trade Law Ủy ban Liên hợp quốc Luật thương mại quốc tế UNCTAD United Nations Conference on Trade and Development Tổ chức Liên hợp quốc Hợp tác Phát triển kinh tế VAN Value Added Network Mạng giá trị gia tăng VNISA Vietnam Information Security Association Hiệp hội An tồn thơng tin Việt Nam WTO World Trade Organizations Tổ chức thương mại giới viii DANH MỤC BẢNG BIỂU, SƠ ĐỒ Danh mục sơ đồ, bảng, hình vẽ Sơ đồ 1: Mơ hình giao dịch thương mại điện tử Sơ đồ 2: Mã hóa đối xứng Ceasar 56 Sơ đồ 3: Mã hóa cơng khai - RSA 59 Sơ đồ 4: Mã hóa chiều – MD5 60 Sơ đồ 5: Quy trình gửi xác thực chữ ký số 64 Sơ đồ 6: Cách thức làm việc Phong bì số 65 Bảng 1: So sánh thương mại truyền thống TMĐT 26 Bảng 2: Quá trình gửi văn có đăng ký sử dụng chữ ký số 62 Bảng 3: Quá trình giải mã văn có đăng ký sử dụng chữ ký số 62 Hình 1: Giao diện website amazon.com 29 Hình 2: Giao diện website alibaba.com 31 Hình 3: Giao diện website eBay.com 33 Hình 4: Một tin nhắn có chứa mã độc đào tiền ảo Facebook Messenger 51 Hình 5: Các lĩnh vực kiểm sốt Phụ lục A ISO IEC 27 1: 13 86 Danh mục biểu đồ Biểu đồ 1: Top quốc gia có IP cơng mạng Việt Nam năm 15 23 Biểu đồ 2: Tỉ lệ phương thức toán mua hàng Việt Nam 37 Biểu đồ 3: Tỉ lệ chấp nhận hình thức tốn doanh nghiệp 38 Biểu đồ 4: Tỉ lệ hình thức tốn website TMĐT 38 Biểu đồ 5: Tỉ lệ nhà cung cấp dịch vụ toán trung gian 39 Biểu đồ 6: Tỉ lệ khó khăn website TMĐT Việt Nam năm 15 40 Biểu đồ 7: Tỉ lệ yếu tố rào cản khách hàng tới mua sắm 40 Biểu đồ 8: Tỉ lệ doanh nghiệp sử dụng chữ ký điện tử qua năm 41 79 phát sinh thu nhập có trách nhiệm thực đăng ký, kê khai, nộp thuế Với người bán hàng cá nhân miễn nộp loại thuế giá trị gia tăng, thuế thu nhập cá nhân mức doanh thu năm không vượt 100 triệu đồng Tuy nhiên, mua bán phải kê khai, kê khai xác định có phải nộp thuế hay khơng Thế nhưng, hầu hết cá nhân kinh doanh trang TMĐT khơng kê khai Thậm chí nhiều doanh nghiệp kinh doanh mạng khơng có địa điểm kinh doanh, không tài khoản ngân hàng rõ ràng Khơng doanh nghiệp, cá nhân có website điện tử bán hàng không thông báo cho Cục Thương mại điện tử không kê khai kê khai thuế không đầy đủ; … Thứ tƣ, việc giải tranh chấp liên quan TMĐT theo quy định Bộ luật tố tụng Dân năm 15, mà theo đó, khoản Điều 95 Bộ luật có quy định “Thơng điệp liệu điện tử thể hình thức trao đổi liệu điện tử, chứng từ điện tử, thư điện tử, điện tín, điện báo, fax hình thức tương tự khác theo quy định pháp luật giao dịch điện tử.” coi chứng Vậy hiểu: Chứng điện tử chứng lưu giữ dạng tín hiệu điện tử máy tính thiết bị có nhớ kỹ thuật số có liên quan đến vụ việc tranh chấp Những chứng điện tử thu thập để phục vụ việc chứng minh, bao gồm: - Những chứng điện tử máy tính tự động tạo như: “cookies”, “URL”, E-mail logs, web server logs… - Những thông tin điện tử người tạo lưu giữ máy tính thiết bị điện tử khác, văn bản, bảng biểu, hình ảnh, thơng tin… lưu giữ dạng tín hiệu điện tử Để thu thập dấu vết điện tử này, cần sử dụng kỹ thuật, công nghệ máy tính phần mềm phù hợp để phục hồi lại “dấu vết điện tử” bị xóa, bị ghi đè, liệu tồn dạng ẩn, mã hóa, phần mềm, mã 80 nguồn cài đặt dạng ẩn, để làm cho đọc được, ghi lại hình thức đọc sử dụng làm chứng pháp lý trước tòa án Tuy nhiên, cách thức thu thập chứng điện tử nào? Quy trình sao? Quyền chủ thể liên quan tiến hành thu thập… khiến cho Tòa án bên đương gặp nhiều khó khăn giải tranh chấp Vì Bộ luật Tố tụng dân năm 15 không quy định cụ thể việc Để tiến hành thu thập chứng điện tử theo định Tòa án thuận lợi, theo tác giả, pháp luật cần có quy định: - Quyền yêu cầu cung cấp liệu máy tính; quyền thủ tục thu giữ lưu giữ chứng điện tử nhà cung cấp dịch vụ internet, chủ sở hữu máy tính; - Quy định cụ thể quyền u cầu cung cấp thơng tin máy tính dạng mang đi, hữu hình đọc Điều quan trọng với phát triển nhanh chóng cơng nghệ thơng tin viễn thơng, đòi hỏi nhà cung cấp dịch vụ thường xuyên phải đầu tư lớn công nghệ Cơ quan chức lý khơng thể tự đầu tư thiết bị để tìm, thu thập, chặn bắt thông tin đặc biệt chuyển thông tin dạng kỹ thuật số, giao thức IP sang dạng thơng tin đọc, nghe, nhìn - Qui định quyền truy cập lấy liệu phục vụ việc thu thập - Qui định bảo quản liệu điện tử truyền tải qua mạng máy tính, đặc biệt liệu có nguy bị sửa đổi, để bắt buộc người quản lý máy tính giữ bí mật, bảo quản lưu giữ tồn vẹn liệu máy tính khoảng thời gian cần thiết, tối đa ngày, để quan có thẩm quyền tìm kiếm thu giữ thơng tin có liên quan đến vụ việc - Quyền yêu cầu cung cấp thông tin thuê bao, thông tin truy cập, thông tin gọi thơng tin khác có liên quan đến vụ việc nhà cung cấp dịch vụ viễn thông, internet Thứ năm, nhắc nhiều đến điều kiện kinh doanh với mong muốn hủy bỏ quy định gây khó khăn, cản trở hoạt động doanh nghiệp, doanh nhân Tuy nhiên, lĩnh vực có lẽ cần xem xét quy định nhãn tín nhiệm điều 81 kiện kinh doanh TMĐT nhằm hạn chế tối đa nhiều website kinh doanh TMĐT khơng an tồn có dấu hiệu lừa đảo người tiêu dùng VECOM phối hợp với Trung tâm Phát triển thương mại điện tử thuộc Cục Thương mại điện tử Công nghệ thông tin xây dựng hệ thống tiêu chuẩn giao dịch TMĐT với tên gọi Safeweb Các website TMĐT thuộc phạm vi cấp nhãn tín nhiệm bao gồm B2C, Sàn giao dịch TMĐT Nhóm mua Nên chăng, sử dụng safeweb điều kiện kinh doanh TMĐT cho website TMĐT? Nhãn tín nhiệm cầu nối giúp cho doanh nghiệp TMĐT xây dựng niềm tin người tiêu dùng Tương tự nhãn tín nhiệm nước phát triển Truste Mỹ, TradeSafe Nhật Bản, TrustSg Singapore,… Thứ sáu, điều kiện nhiều hacker thành thạo kỹ thuật Social Engineering tới mức họ hiểu rõ việc tạo lập website giả mạo hành vi người dùng, dẫn dụ thành công người dùng vào việc đăng nhập tài khoản mật khẩu, chìa khố để vượt qua hệ thống bảo mật Kịch đơn giản cho hacker hàng loạt vụ khách hàng bị “rút ruột” tài khoản phishing Để đánh lừa, hacker xây dựng trang web giả mạo giống y hệt trang mà người dùng muốn truy cập Trên giới, để hạn chế tối đa việc hacker sử dụng kỹ thuật phishing, nhiều doanh nghiệp mua domain vệ tinh, gần liên quan đến domain để tránh việc người dùng gõ nhầm, nhìn nhầm domain họ Doanh nghiệp nước ngồi xem xét kỹ vấn đề này, doanh nghiệp Việt Nam chưa Có thể lấy trường hợp Google.com, gõ Gogle.com trang đích dẫn đến trang chủ Google Tương tự vậy, trang chủ Vietcombank vietcombank.com.vn, nhiên, cần dấu - domain khiến điều hướng đến trang đích bị thay đổi Ví dụ, hacker lợi dụng tên miền vietcombank.com.vn, viet-combank.com.vn… để giả lập giao diện website Vietcombank, dẫn dụ người dùng vào việc làm cho họ nhầm tưởng rằng, họ truy cập vào trang chủ Vietcombank Hiện pháp luật nước ta TMĐT không quy định bắt buộc Vietcombank áp dụng phương pháp bảo mật cách mua tên miền gần gũi 82 với thương hiệu mình, tên miền nói trạng thái sẵn sàng để đăng ký Do vậy, để bảo vệ quyền lợi người tiêu dùng hoạt động TMĐT, quan nhà nước có thẩm quyền xem xét quy định buộc Doanh nghiệp Việt Nam cần quan tâm vấn đề Trong điều kiện văn pháp luật chưa phản ảnh đầy đủ thực tiễn kinh doanh trực tuyến thực tế TMĐT không tác động hoạt động thương mại mà tác động lên hoạt động khác kinh tế, trị, văn hóa… Do đó, pháp luật TMĐT cơng cụ để quan nhà nước có thẩm quyền áp dụng giải tranh chấp liên quan Để TMĐT phát huy mạnh đồng thời tạo chế thuận lợi cho việc giải tranh chấp, cần bổ sung thêm quy định công nhận giá trị pháp lý chứng điện tử; cách thức quản lý mạng xã hội kinh doanh TMĐT tảng di động; đưa chế tài tương ứng với hành vi vi phạm; xây dựng thừa nhận tính pháp lý cho việc thu thập liệu điện tử quan có thẩm quyền để kịp thời giải tranh chấp TMĐT 3.3.2 Giải pháp tiêu chuẩn hóa Tùy thuộc vào quy mơ lĩnh vực hoạt động, tổ chức có phương thức tiếp cận khác để xây dựng Hệ thống quản lý An tồn thơng tin (ATTT) phù hợp Hệ thống quản lý ATTT theo tiêu chuẩn quốc tế - ISO 27 1: 13 đề cập đầy đủ yêu cầu đảm bảo ATTT tổ chức 3.3.2.1 Hệ thống quản lý ATTT (ISMS) Theo tiêu chuẩn ISO/IEC 27001: 2013, thông tin hệ thống, quy trình, cán liên quan tài sản tổ chức Tất tài sản có giá trị quan trọng hoạt động tổ chức cần bảo vệ thích hợp Do thông tin tồn lưu trữ nhiều hình thức khác nhau, nên tổ chức phải có biện pháp bảo vệ phù hợp để hạn chế rủi ro Bên cạnh rủi ro ATTT bị cơng phá hoại có chủ đích, tổ chức gặp phải rủi ro thơng tin : Các quy trình quản lý, vận 83 hành không đảm bảo; Việc quản lý quyền truy cập chưa kiểm tra xem xét định kỳ; Nhận thức nhân viên việc sử dụng trao đổi thơng tin chưa đầy đủ… Do đó, ngồi biện pháp kỹ thuật, tổ chức cần xây dựng áp dụng sách, quy định, quy trình vận hành phù hợp để giảm thiểu rủi ro Hệ thống quản lý ATTT (ISMS) giúp tổ chức thực việc kiểm soát định hướng cho hoạt động đảm bảo ATTT Việc Hệ thống vận hành tốt giúp công tác đảm bảo ATTT tổ chức trì liên tục, xem xét đánh giá định kỳ khơng ngừng cải tiến để đối phó với rủi ro phát sinh Các hoạt động đảm bảo ATTT tổ chức mang tính hệ thống, giảm phụ thuộc vào cán thực thi xem xét, đánh giá để nâng cao hiệu 3.3.2.2 Lợi ích triển khai áp dụng ISMS Tiêu chuẩn ISO 27001: 2013 áp dụng cho loại hình tổ chức có nhu cầu bảo vệ thông tin Việc triển khai Hệ thống ISMS theo tiêu chuẩn ISO 27001 giúp tổ chức đạt lợi ích sau: - Đảm bảo ATTT tổ chức, đối tác khách hàng, giúp cho hoạt động tổ chức ln thơng suốt an tồn - Giúp nhân viên tuân thủ việc đảm bảo ATTT hoạt động nghiệp vụ thường ngày; Các cố ATTT người dùng dây hạn chế tối đa nhân viên đào tạo, nâng cao nhận thức ATTT - Giúp hoạt động đảm bảo ATTT trì cải tiến Các biện pháp kỹ thuật sách tuân thủ xem xét, đánh giá, đo lường hiệu cập nhật định kỳ - Đảm bảo hoạt động nghiệp vụ tổ chức không bị gián đoạn cố liên quan đến ATTT - Nâng cao uy tín tổ chức, tăng sức cạnh tranh, tạo lòng tin với khách hàng, đối tác, thúc đẩy q trình tồn cầu hóa tăng hội hợp tác quốc tế 84 3.3.2.3 Cấu trúc Tiêu chuẩn ISO 27001: 2013 a) Khái quát tiêu chuẩn ISO 27001:2013 Tiêu chuẩn quốc tế ISO/IEC 27001: 2013 cung cấp mơ hình thiết lập, triển khai, vận hành, giám sát, xem xét, trì nâng cấp Hệ thống ISMS Xây dựng Hệ thống ISMS định chiến lược tổ chức Thiết kế triển khai Hệ thống ISMS tổ chức phụ thuộc vào mục tiêu, yêu cầu ATTT cần phải đạt được, quy trình vận hành, quy mô cấu tổ chức Hệ thống ISMS địi hỏi phải ln xem xét, cập nhật để phù hợp với thay đổi tổ chức nâng cao mức độ an tồn với Hệ thống lưu trữ, xử lý thơng tin Ngồi ra, tổ chức cần cân nhắc chi phí đầu tư xây dựng triển khai ISMS phù hợp với nhu cầu đảm bảo ATTT ISO IEC 27 đặc tả yêu cầu cần thiết cho việc thiết lập, vận hành giám sát hoạt động ISMS; đưa nguyên tắc cho việc khởi tạo, thực thi, trì cải tiến ISMS Tiêu chuẩn đưa quy tắc bảo mật thông tin đánh giá tuân thủ phận bên tổ chức, xây dựng yêu cầu bảo mật thông tin mà đối tác, khách hàng cần phải tuân thủ làm việc với tổ chức Đây công cụ để nhà lãnh đạo thực giám sát, quản lý Hệ thống thông tin, giảm thiểu rủi ro tăng cường mức độ an toàn, bảo mật cho tổ chức b) Cấu trúc tiêu chuẩn ISO/IEC 27001: 2013 điều khoản (từ phần đến phần 10 Tiêu chuẩn): đưa yêu cầu bắt buộc công việc cần thực việc thiết lập, vận hành, trì, giám sát nâng cấp Hệ thống ISMS tổ chức Bất kỳ vi phạm tổ chức so với quy định nằm điều khoản coi không tuân thủ theo tiêu chuẩn: 85 Điều khoản - Phạm vi tổ chức: Đưa yêu cầu cụ thể để tổ chức quy mô, lĩnh vực hoạt động yêu cầu, kỳ vọng bên liên quan thiết lập phạm vi Hệ thống quản lý ATTT phù hợp Điều khoản - Lãnh đạo: Quy định vấn đề trách nhiệm Ban lãnh đạo tổ chức Hệ thống ISMS, bao gồm yêu cầu cam kết, tâm Ban lãnh đạo việc xây dựng trì hệ thống; yêu cầu việc cung cấp nguồn lực, tài để vận hành hệ thống Điều khoản - Lập kế hoạch: Tổ chức cần định nghĩa áp dụng quy trình đánh giá rủi ro, từ đưa quy trình xử lý Điều khoản đưa yêu cầu việc thiết lập mục tiêu ATTT kế hoạch để đạt mục tiêu Điều khoản - Hỗ trợ: yêu cầu việc tổ chức đào tạo, truyền thơng, nâng cao nhận thức cho tồn thể cán bộ, nhân viên tổ chức lĩnh vực ATTT ISMS, số hóa thơng tin Điều khoản - Vận hành hệ thống: Tổ chức cần có kế hoạch vận hành quản lý để đạt mục tiêu đề Đồng thời cần định đánh giá rủi ro ATTT có kế hoạch xử lý Điều khoản - Đánh giá hiệu hệ thống: Quy định trách nhiệm Ban lãnh đạo việc định kỳ xem xét, đánh giá Hệ thống ISMS tổ chức Phần đưa yêu cầu kỳ xem xét hệ thống, đảm bảo đánh giá toàn hoạt động hệ thống, đo lường hiệu biện pháp thực có kế hoạch khắc phục, nâng cấp hệ thống cho phù hợp với thay đổi hoạt động tổ chức Điều khoản 10 - Cải tiến hệ thống: Giữ vững nguyên tắc Kế hoạch - Thực - Kiểm tra - Hành động (P-D-C-A), tiêu chuẩn đưa yêu cầu đảm bảo Hệ thống ISMS không ngừng cải tiến trình hoạt động Gồm quy định việc áp dụng sách mới, hoạt động khắc phục, phòng ngừa điểm yếu xảy tiềm tàng để đảm bảo hiệu Hệ thống ISMS Phụ lục A - Các mục tiêu biện pháp kiểm soát: đưa 14 lĩnh vực kiểm sốt nhằm cụ thể hóa vấn đề mà tổ chức cần xem xét, thực xây dựng 86 trì Hệ thống ISMS Các lĩnh vực đưa xem xét bao gồm từ sách lãnh đạo tổ chức, tới việc đảm bảo ATTT quản lý tài sản, nhân sự, nguyên tắc để đảm bảo ATTT việc vận hành, phát triển, trì hệ thống CNTT Hình 5: Các l nh vực kiểm soát Phụ lục A ISO IEC 27001: 2013 (Nguồn: Ban Cơ yếu Chính Phủ, 2015, Tải xuống website http://antoanthongtin.vn tháng 3/2018) Mỗi lĩnh vực kiểm sốt lại cụ thể hóa với mục tiêu kiểm soát cần đạt biện pháp cụ thể để đạt mục tiêu Các biện pháp kiểm sốt lựa chọn, loại bỏ bổ sung thêm để phù hợp với lĩnh vực hoạt động tổ chức Tuy nhiên, loại bỏ chấp nhận tổ chức đưa lý giải phù hợp 3.3.2.4 Triển khai ISMS Việt Nam 87 Hệ thống quản lý ATTT nhu cầu thiết yếu tổ chức, cần đảm bảo ATTT cách toàn diện Xây dựng hệ thống ISMS theo tiêu chuẩn ISO 27001: 2013 giúp hoạt động đảm bảo ATTT tổ chức quản lý chặt chẽ Do tiêu chuẩn ISO 27 xem xét đảm bảo ATTT nhiều khía cạnh, nên việc xây dựng áp dụng hệ thống địi hỏi phải có tâm lãnh đạo tổ chức phối hợp đồng phận tổ chức việc xây dựng trì hệ thống Cơng ty Hệ thống Thông tin FPT (FPT IS) đơn vị Việt Nam đạt chứng ISO 27 đơn vị tư vấn, triển khai Hệ thống ISMS cho nhiều doanh nghiệp, tổ chức FPT IS đề xuất tổ chức xây dựng ISMS theo bước để đáp ứng yêu cầu tiêu chuẩn ISO 27001: 2013: - Bước 1: Khảo sát lập kế hoạch - Bước 2: Xác định phương pháp quản lý rủi ro ATTT - Bước 3: Xây dựng hệ thống đảm bảo ATTT đơn vị - Bước 4: Triển khai áp dụng: biện pháp lựa chọn, đáp ứng sách, quy định, quy trình xây dựng yêu cầu tiêu chuẩn ISO 27001 - Bước 5: Đánh giá nội bộ: khắc phục điểm không phù hợp với quy định tổ chức yêu cầu tiêu chuẩn Sau thực xong bước 5, tổ chức mời đơn vị độc lập để đánh giá cấp Chứng nhận phù hợp với tiêu chuẩn ISO 2701:2013 cho Hệ thống quản lý ATTT xây dựng Những vấn đề khó khăn, cần lưu ý đơn vị bắt tay vào xây dựng hệ thống ISMS là: Nhận thức người dùng tổ chức việc đảm bảo ATTT, đánh giá lợi ích mang lại áp dụng hệ thống ISMS chưa cao; Trách nhiệm xây dựng, trì hệ thống phân công không phù hợp, đơn vị giao không nhận phối hợp, cộng tác đơn vị khác tổ chức Bên cạnh đó, việc xây dựng nâng cấp hệ thống cần quan tâm lãnh đạo đầu tư nguồn lực thích đáng 88 89 KẾT LUẬN Trong kinh tế hội nhập, thương mại điện tử khẳng định vai trị lợi ích to lớn mà mang lại Thương mại điện tử góp phần thu hẹp lại khoảng cách quốc gia, doanh nghiệp, cá nhân tham gia vào giao dịch thương mại điện tử, trao đổi hàng hóa, dịch vụ, thơng tin Tại Việt Nam, lãnh đạo Đảng nhà nước đặt kế hoạch phát triển thương mại điện tử dài hạn, dần hồn thiện hành lang pháp lý thích nghi với phát triển, thay đổi ngày thương mại điện tử giới Tuy nhiên vấn đề an tồn, an ninh thơng tin, bảo mật liệu giao dịch thương mại điện tử vấn đề lớn cần quan tâm mức, yếu tố định thành công thương mại điện tử Rủi ro thương mại điện tử biến đổi nhanh, theo hướng ngày phức tạp, khó dự đốn phịng tránh với phát triển nhanh công nghệ thông tin, viễn thơng, cách mạng cơng nghiệp 4.0 Để phịng tránh rủi ro hiệu cần tham gia, vào quan quản lý nhà nước, hiệp hội thương mại điện tử, doanh nghiệp, cá nhân để đưa áp dụng tiêu chuẩn an ninh, an toàn cho giao dịch thương mại điện tử Ngoài quan quản lý nhà nước cần nhanh chóng cập nhật hồn thiện hành lang pháp lý (luật, nghị định, thông tư…) để làm sở cho tổ chức, doanh nghiệp cá nhân thực đảm bảo tuân thủ pháp luật 90 DANH MỤC TÀI LIỆU THAM KHẢO TIẾNG VIỆT Bộ Công Thương, Báo cáo Thương mại điện tử Việt Nam 2013, Hà Nội 2013 Bộ Công Thương, Báo cáo Thương mại điện tử Việt Nam 2014, Hà Nội 2014 Bộ Công Thương, Báo cáo Thương mại điện tử Việt Nam 2015, Hà Nội 2015 Nguyễn Thị Hương Giang, Rủi ro biện pháp hạn chế, khắc phục rủi ro thương mại điện tử, Luận văn thạc sĩ, Trường Đại học Ngoại thương, Hà Nội năm Hiệp hội thương mại điện tử Việt Nam, Chỉ số Thương mại điện tử Việt Nam 2015, Hà Nội 2015 Hiệp hội thương mại điện tử Việt Nam, Chỉ số Thương mại điện tử Việt Nam 2016, Hà Nội 2016 Hiệp hội thương mại điện tử Việt Nam, Chỉ số Thương mại điện tử Việt Nam 2017, Hà Nội 2017 Nguyễn Văn Hịe, Giáo trình thương mại điện tử bản, Trường Đại học kinh tế quốc dân, Hà Nội 2008 PGS, TS, NGƯT Nguyễn Văn Hồng; PGS, TS Nguyễn Văn Thoan, Giáo trình thương mại điện tử bản, Trường Đại học Ngoại Thương, Hà Nội 2013 10 Nguyễn Thảo Nguyên, Rủi ro phòng tránh rủi ro thương mại điện tử Việt Nam – Thực trạng giải pháp, Khóa luận tốt nghiệp, Đại học Ngoại thương Hà Nội, Hà Nội năm 13 11 Phùng Thị Quỳnh Trang, Rủi ro thương mại điện tử, thực trạng giải pháp cho Việt Nam, Luận văn thạc sĩ, Trường Đại học Ngoại thương Hà Nội, Hà Nội năm 2004 TIẾNG ANH 12 Edward Amoroso, Cyber Attacks, Butterworth-Heinemann, 2011 13 Efraim Turban, Electronic Commerce – A managerial perspective, 2009 91 14 Jeffrey Car, A Traveler’s Guide to Cyber Security, Taia Global, Inc, 2012 15 Leonard Jessup, Joseph Valacich, Information Systems Today, 2007 16 Rupert Kendrick, Cyber Risk for Business Professionals: A Management Guide, IT Governance, 2010 TÀI LIỆU THAM KHẢO TRÊN INTERNET 17 Ban yếu phủ, Trang thơng tin An tồn thơng tin, địa http://antoanthongtin.vn, truy cập tháng 3/2018 18 Ban yếu phủ, Trang thơng tin An tồn thơng tin, Q trình hình thành Tiêu chuẩn An tồn thơng tin, địa chỉ: http://antoanthongtin.vn/Detail.aspx?CatID=b452f747-554b-40e6-ab3b7af1ee3b6a3d&NewsID=89a8a986-1ea4-41ba-85dd992fb1258abf&MenuID=b452f747-554b-40e6-ab3b-7af1ee3b6a3d , truy cập tháng 3/2018 19 Ban yếu phủ, Trang thơng tin An tồn thơng tin, Hệ thống quản l An tồn thơng tin theo ti u chuẩn ISO 27001:2013, địa chỉ: http://antoanthongtin.vn/Detail.aspx?NewsID=01da777e-269a-48de-9fd6297488b69555&CatID=b452f747-554b-40e6-ab3b-7af1ee3b6a3d , truy cập tháng 3/2018 20 Báo điện tử Người Lao Động, Mã độc đào tiền ảo lây lan tr n Facebook Messenger Việt Nam, địa chỉ: https://nld.com.vn/cong-nghe/ma-doc-dao-tien-ao-dang-lay-lan-tren-facebookmessenger-tai-viet-nam-20171219144614131.htm, truy cập tháng 3/2018 21 Báo điện tử Thanh Niên, vụ công mạng lớn giới năm 2017, địa chỉ: https://thanhnien.vn/cong-nghe/8-vu-tan-cong-mang-lon-nhat-the-gioi-nam-2017918976.html, truy cập tháng 2/2018 92 22 Báo điện tử VNEXPRESS, Sân bay Nội Bài, Tân Sơn Nhất bị tin tặc công, địa chỉ: https://vnexpress.net/tin-tuc/thoi-su/san-bay-noi-bai-tan-son-nhat-bi-tin-tac-tancong-3444469.html, truy cập tháng 3/2018 23 Bộ Công Thương, Cục thương mại điện tử kinh tế số, địa http://www.vecita.gov.vn, truy cập tháng 3/2018 24 Bộ Công Thương, Cục thương mại điện tử kinh tế số, Hướng dẫn mua sắm trực tuyến an toàn, địa http://www.vecita.gov.vn/tinbai/859/Huong-dan-muasam-truc-tuyen-an-toan , truy cập tháng 3/2018 25 Hiệp hội thương mại điện tử Việt Nam (VECOM), địa http://www.vecom.vn/ , truy cập tháng 3/2018 26 Tạp chí Cơng thương, Thực trạng tốn điện tử Việt Nam số kiến nghị, địa http://www.tapchicongthuong.vn/thuc-trang-thanh-toan-dien-tutai-viet-nam-va-mot-so-kien-nghi-20171203013252271p0c488.htm, truy cập tháng 3/2018 27 Trang thông tin Hỗ trợ giao dịch thương mại điện tử, địa http://ecommerce.gov.vn/, truy cập tháng 2/2018 28 Trung tâm ứng cứu khẩn cấp máy tính Việt Nam (VNCERT), địa http://www.vncert.gov.vn, truy cập tháng 2/2018 29 Trung tâm ứng cứu khẩn cấp máy tính Việt Nam (VNCERT), Các quốc gia có nguồn công vào Việt Nam nhiều nhất, địa chỉ: http://www.vncert.gov.vn/baiviet.php?id=20, truy cập tháng 3/2018 30 Trang thông tin điện tử Bộ Tư Pháp, Pháp luật thương mại điện tử, số bất cập kiến nghị hoàn thiện, địa chỉ: http://moj.gov.vn/qt/tintuc/Pages/nghiencuu-trao-doi.aspx?ItemID=2222, truy cập tháng 3/2018 31 Website SecurityDaily.net, Phòng chống Botnet DdoS Việt Nam nay, địa chỉ: https://securitydaily.net/phong-chong-botnet-va-ddos-tai-viet-nam/, truy cập tháng 3/2018 93 32 Website SIU Review, Thương mại điện tử & Amazon, địa http://review.siu.edu.vn/kinh-te/thuong-mai-dien-tu-amazon/247/2542, truy cập tháng 3/2018 33 Website TechTalk, Báo cáo công từ chối dịch vụ DDoS quý 2/2017 giới, địa https://techtalk.vn/bao-cao-tan-cong-tu-choi-dich-vu-ddos-quy-22017tren-the-gioi.html, truy cập tháng 3/2018 34 Website Viblo.asia, Mã hóa bảo mật Thương mại điện tử, địa https://viblo.asia/p/ma-hoa-trong-bao-mat-thuong-mai-dien-tu-bxjvZwEnGJZ, truy cập tháng 2/2018 35 Website Ting.vn, Công ty alibaba.com mơ hình kinh doanh gì?, địa http://ting.vn/co/cong-ty-alibabacom-la-mo-hinh-kinh-doanh-gi-32.html, tháng 3/2018 truy cập ... điện tử Chương II: Thực trạng giao dịch thương mại điện tử, rủi ro phòng tránh rủi ro giao dịch thương mại điện tử Chương III: Một số biện pháp phòng tránh rủi ro giao dịch thương mại điện tử 5... nhóm rủi ro liệu, rủi ro trình giao dịch, rủi ro công nghệ rủi ro pháp lý 1.2.2 Một số rủi ro thường gặp giao dịch TMĐT 1.2.2.1 Nhóm rủi ro liệu a) Rủi ro liệu với người bán Trong thương mại điện. .. GIAO DỊCH THƢƠNG MẠI ĐIỆN TỬ, RỦI RO TRONG THƢƠNG MẠI ĐIỆN TỬ TRÊN THẾ GIỚI VÀ VIỆT NAM 2.1 Giao dịch thƣơng mại điện tử 2.1.1 Khái niệm giao dịch TMĐT Giao dịch TMĐT hệ thống bao gồm không giao