ĐẠI HỌC QUỐC GIA HÀ NỘI TRƯỜNG ĐẠI HỌC CÔNG NGHỆ TRẦN THỊ NGUYỆT NGHIÊN CỨU XÂY DỰNG KHUNG QUẢN TRỊ DỮ LIỆU CHO VIỆC QUẢN LÝ DỮ LIỆU CỦA TỔNG CÔNG TY MẠNG LƯỚI VIETTEL Giáo viên hướng dẫn: PGS TS Phan Xuân Hiếu LUẬN VĂN THẠC SĨ CÔNG NGHỆ THÔNG TIN Hà Nội - 2019 LỜI CẢM ƠN Tôi xin trân trọng cảm ơn thầy cô Đại Học Công Nghệ- Đại Học Quốc Gia Hà Nội tạo điều kiện cho học viên lớp cao học K24CNTT môi trường học tập hiệu quả, đồng thời truyền đạt cho học viên lượng kiến thức kinh nghiệm quý báu phục vụ cho trình học tập công tác tương lai Cách thức làm việc, học hỏi thầy cô truyền cảm hứng cho phát huy tinh thần học hỏi chủ động tự học để nâng cao kỹ năng, kiến thức cho thân Tôi xin trân trọng cảm ơn ban lãnh đạo Tổng công ty Mạng lưới Viettel anh chị phòng Kỹ Thuật Nghiệp vụ Tổng công ty đại diện đứng tổ chức lớp học cho cán nhân viên tổng công ty Để người vừa làm việc vừa trao đổi, vận dụng kiến thức học vào thực tế hiệu Đặc biệt, cảm ơn sâu sắc đến PGS.TS Phan Xuân Hiếu bảo cho suốt trình học tập làm luận văn, giúp tơi có thêm tâm để nghiên cứu hồn thiện luận văn Tơi xin gửi lời cảm ơn đến bạn lớp Cao học Hệ thống Thơng tin K24CNTT giúp đỡ, động viên, khích lệ suốt thời gian học tập Tôi xin gửi lời cảm ơn tới gia đình động viên, giúp đỡ tơi q trình hồn thành luận văn Với lượng kiến thức kinh nghiệm cịn nên luận văn khơng tránh khỏi thiếu sót Tơi xin trân trọng tiếp thu ý kiến thầy, cơ, bạn bè để luận văn hồn thiện Trân trọng cám ơn MỤC LỤC LỜI CẢM ƠN MỤC LỤC DANH MỤC CÁC KÝ HIỆU VÀ CHỮ VIẾT TẮT DANH MỤC CÁC HÌNH VẼ, ĐỒ THỊ MỞ ĐẦU CHƯƠNG KHUNG QUẢN LÝ DỮ LIỆU 1.1 Khái niệm chung quản lý liệu 1.1.1 Định nghĩa thông tin liệu 1.1.2 Quản lý liệu 10 1.1.3 Quản trị liệu 11 1.1.4 Phân biệt quản lý quản trị liệu 12 1.1.5 Lợi ích tầm quan trọng quản lý liệu 13 1.1.6 Nguyên tắc quản lý liệu 14 1.1.7 Các lĩnh vực trọng tâm cần đề cập quản lý liệu 15 1.1.8 Các bước để thực quản lý liệu 16 1.2 Khung quản lý liệu 18 1.3 Khung quản lý liệu viễn thông cho TCT mạng lưới VIettel 22 CHƯƠNG QUẢN LÝ ATTT TRONG DOANH NGHIỆP 27 2.1 ĐỊNH NGHĨA AN TỒN THƠNG TIN 27 2.2 CÁC PHƯƠNG PHÁP QUẢN LÝ AN TỒN THƠNG TIN 27 2.2.1 Tiêu chuẩn quản lý an tồn thơng tin ISO27001:2013 27 2.2.2 Phương pháp tiếp cận 28 2.2.3 Phương pháp quản lý rủi ro 228 2.3 KHUNG QUẢN LÝ AN TỒN THƠNG TIN 32 CHƯƠNG GIẢI PHÁP NÂNG CAO NĂNG LỰC QUẢN LÝ AN TỒN THƠNG TIN DỮ LIỆU VIỄN THÔNG 37 3.1 Phương pháp quản lý rủi ro 37 Nguyên lý quản lý rủi ro cho tổ chức 38 Mơ hình tổ chức phương pháp quản lý rủi ro 39 Quy trình quản lý rủi ro 41 Thực đánh giá rủi ro cho hệ thống liệu viễn thông xây dựng kế hoạch xử lý rủi ro 43 3.2 Quản lý an toàn vận hành 46 3.3 Quản lý tính liền mạch, liên tục kinh doanh 47 KẾT LUẬN 49 TÀI LIỆU THAM KHẢO 51 PHỤ LỤC Danh sách điểm yếu, đe dọa dùng để phân tích rủi ro an tồn liệu viễn thông 53 PHỤ LỤC 2: Checklist khảo sát đánh giá rủi ro cho liệu viễn thông 58 PHỤ LỤC Ma trận đánh giá rủi ro 87 PHỤ LỤC Danh sách phân tích rủi ro cho liệu viễn thông 90 DANH MỤC CÁC KÝ HIỆU VÀ CHỮ VIẾT TẮT STT Ký hiệu/ CFhữ viết tắt Ý nghĩa ANTT An tồn thơng tin BCP Kế hoạch đảm bảo tính liên tục kinh doanh – Business Contuinity Plan CNTT Công nghệ thông tin DAMA Hiệp hội quản lý liệu quốc tế DG Data Governance – Quản trị liệu DGI Data Governance Institute - Viện quản trị liệu HMRR Hạng mục rủi ro ISMS Hệ thống quản lý an tồn thơng tin – Information Security Management System KVRR Khẩu vị rủi ro 10 QTDL Quản trị liệu 11 QLDL Quản lý liệu 12 QTRR Quản trị rủi ro 13 QLRR Quản lý rủi ro DANH MỤC CÁC HÌNH VẼ, ĐỒ THỊ STT Chương Hình Tên hình vẽ 1 1.1 Hình 1.1 Hình 1 Tháp liệu 1.2 Hình 1.2 Hình 1.2 Khung quản lý liệu DAMAOK 1.3 Hình 1.3 Hình 1.3 Khung quản lý liệu viễn thơng 2.1 Hình 2.1 Hình 2.1 Lộ trình triển khai ISO27001:2013 2.2 Hình 2.2 Hình 2.2 Mơ hình PDCA 2.2 Hình 2.3 Hình 2.3 Mơ hình PDCA ISO27001 2.3 Hình 2.4 Hình 2.4 Các lĩnh vực ATTT 3.1 Hình 3.1 Hình 3.1 Tháp quản lý rủi ro tổ chức viễn thông 3 3.1 Hình 3.2 Hình 3.2 Mơ hình kiểm sốt rủi ro liệu viễn thơng lớp 10 3.1 Hình 3.3 Hình 3.3 Quy trình quản lý rủi ro 11 3.1 Hình 3.4 Hình 3.4 Quy trình đánh giá rủi ro 12 3.1 Hình 3.5 Hình 3.5 Quy trình xử lý rủi ro Hình 3.6 Hình 3.6 Bảng đánh giá rủi ro liệu viễn thơng Hình 3.7 Hình 3.7 Cơng cụ quản lý rủi ro liệu viễn thơng Hình 3.8 Hình 3.8 Khung quy trình vận hành khai thác hệ thống thơng tin viễn thơng Hình 3.9 Hình 3.9 Kế hoạch đảm bảo tính liên tục cho hệ thống viễn thơng 13 14 15 16 Mục 3 3 3.1 3.1 3.2 3.3 MỞ ĐẦU Ngày liệu coi tài sản quan trọng, việc quản lý liệu đảm bảo an tồn thơng tin cho liệu nhu cầu sống đơn vị Kết phân tích liệu đóng vai trị then chốt cho định ban lãnh đạo, để tăng tính tin cậy kết phân tích liệu u cầu bắt buộc đơn vị phải có phương pháp quản lý liệu cho đơn vị hiệu đảm bảo chất lượng [3] Việc thu thập, khai thác sử dụng liệu cách hiệu yếu tố quan trọng, định phát triển tổ chức Tổ chức khai thác liệu rõ giá trị liệu sở hữu: liệu đâu, làm để sử dụng, liệu tích hợp với ứng dụng nào, đâu, thời gian nào, v.v Chất lượng liệu dẫn tới gia tăng rủi ro hoạt động, chiến lược, ảnh hưởng đến việc hỗ trợ định, hoạt động kế hoạch hàng ngày từ lãnh đạo đơn vị ảnh hưởng tới hoạt động, phát triển bền vững tổ chức Chất lượng liệu khai thác liệu hiệu cần đôi việc đảm bảo An tồn thơng tin (ATTT) cho liệu [1] ,[3] Quản lý liệu kết hợp người, quy trình kỹ thuật cho phép tổ chức tối ưu hóa, bảo vệ sử dụng nguồn liệu (cấu trúc phi cấu trúc) cách hiệu tài sản doanh nghiệp Khung quản lý liệu gồm có hợp phần về: Quản trị liệu, cấu trúc liệu, mơ hình thiết kế liệu, lưu trữ vận hành liệu, an tồn liệu, tích hợp liệu, quản lý văn nội dung, công cụ báo cáo quản trị, siêu liệu (metadata) chất lượng liệu [3] Sau nhận thấy tầm quan trọng việc quản lý liệu, đánh giá khảo sát trạng tổ chức gặp phải nhiều vấn đề việc quản lý liệu quản lý liệu phân tán, không tập trung Với án liên quan đến liệu thời gian để thu thập, làm liệu tốn đa số thời gian dự án.Việc quản lý an tồn thơng tin liệu tổ chức chưa triển khai theo phương pháp tổng thể Khi lãnh đạo thấy vấn đề, cố phát sinh hay có vấn đề cộm lên đạo dồn nguồn lực vào xử lý, mà khơng có biện pháp quản lý tổng thể Hoạt động vận hành tổ chức ưu tiên vấn đề “chữa cháy” việc ưu tiên “phòng cháy” Nguồn lực nhân vận hành tổ chức dồn tập trung vào việc xử lý vụ việc, cố, vấn đề ưu tiên việc đưa phương pháp quản lý tổng thể, quản lý rủi ro để giảm vấn đề vụ cải tiến liên tục hệ thống Các công việc mang tính bị động, xảy xử lý Ngồi ra, tổ chức hoạt động lĩnh vực viễn thông, hệ thống lõi cần đảm bảo tính sẵn sàng liên tục cao, nhiên phương án dự phòng, đảm bảo tính liền mạch, ứng cứu xảy gián đoạn chưa có tính chủ động chưa thử nghiệm định kỳ phương án Song song với vấn đề thực tổ chức giới, giải pháp quản lý liệu an ninh liệu cập nhật phương pháp giải pháp ISO27001:2013, ISO31000:2018 Từ vấn đề trên, luận văn thực nghiên cứu về: NGHIÊN CỨU XÂY DỰNG KHUNG QUẢN TRỊ DỮ LIỆU CHO VIỆC QUẢN LÝ DỮ LIỆU CỦA TỔNG CÔNG TY MẠNG LƯỚI VIETTEL Mục đích nghiên cứu: Mục đích luận văn nghiên cứu để đưa cách thức phương pháp quản lý để giải vấn đề bất cập tổ chức Xây dựng khung quản lý liệu cho liệu viễn thông Các hợp phần quan trọng tổ chức cần thực quản lý muốn tăng chất lượng liệu khả tin cậy liệu bao gồm: quản trị, thu thập/ lưu trữ, chất lượng, truy cập cung cấp, phân tích, an ninh liệu Tuy nhiên, thời gian nghiên cứu, triển khai hạn hẹp, luận văn chưa đủ thời gian để nghiên cứu triển khai hết tất hợp phần Nên phạm vi luận văn em xin phép tập trung nghiên cứu sâu xây dựng triển khai giải pháp hợp phần khung quản lý phần quản lý an tồn thơng tin Tập trung đề xuất giải pháp để nâng cao lực an toàn thông tin cho liệu viễn thông Mục đích việc triển khai giải pháp quản lý an tồn thơng tin tồn diện cho liệu viễn thông nhằm đảm bảo cho hệ thống công nghệ thông tin, viễn thông tổng công ty đạt u cầu an tồn, bảo mật Các thơng tin quản lý đảm bảo tính bí mật, tồn vẹn, xác thực sẵn sàng Đồng thời nâng cao tính liên tục khơng bị gián đoạn giúp hệ thống thông tin vận hành liên tục, chống lại cố an tồn thơng tin, cơng từ nội từ bên ngồi Qua nâng cao mức độ tin cậy đối tác khách hàng làm việc đơn vị Bên cạnh việc tăng cường hoạt động, quản lý, phòng ngừa, phát sớm điểm rủi ro để có hành động xử lý sớm giảm khả rủi ro xuất Qua giảm tỷ lệ cố phát sinh cần xử lý hàng ngày Sau nghiên cứu triển khai, áp dụng thực tế giải pháp đưa luận văn vào hoạt động đơn vị Giúp đơn vị thấy khung quản lý liệu đầy đủ, hợp phần đơn vị cần thiết cho việc quản lý đặc thù cho liệu viễn thông Trong hợp phần khung quản lý liệu, luận văn tập trung nghiên cứu sâu khung quản lý an tồn thơng tin Nghiên cứu xây dựng giải pháp an tồn thơng tin phù hợp cho đơn vị sau khảo sát nắm điểm mạnh, điểm chưa tốt hoạt động quản lý an toàn Những điểm mạnh tổ chức thực triển khai trước trì Và luận văn tập trung triển khai vào ba giải pháp mà trước đơn vị chưa có triển khai đưa đầy đủ là: hoạt động liên quan tới quản lý rủi ro, quản lý công tác vận hành khai thác cac hoạt động nhằm nâng cao tính liên tục hệ thống cơng nghệ thơng tin viễn thông Phương pháp nghiên cứu: Nghiên cứu phương pháp quản lý liệu Khảo sát, đánh giá trạng hệ thống cách thức quản lý đơn vị để đề xuất khung quản lý liệu cho viễn thơng Sau vào nghiên cứu sâu giải pháp cho mảng quản lý an tịan thơng tin liệu Triển khai phương pháp quản lý vào thực tế đơn vị để nâng cao lực quản lý an tồn thơng tin cho liệu viễn thông Phương pháp thực nghiệm: Xây dựng hệ thống văn bản, tài liệu, công cụ quản lý đưa vào triển khai áp dụng thực tế Luận văn cấu trúc với ba chương Chương Khung quản lý liệu đưa khái niệm chung quản trị, quản lý liệu Mô tả thành phần khung quản lý liệu chung Sau khảo sát hoạt động đơn vị đưa khung quản lý liệu cho liệu viễn thông Các vấn đề, vướng mắc hay gặp phải việc quản lý liệu Chương hai bắt đầu sâu vào hợp phần quan trọng việc quản lý liệu quản lý an tồn thơng tin Đưa khái niệm an tồn thơng tin liệu Đưa phương pháp việc quản lý an tồn thơng tin, mơ tả chi tiết hợp phần cần thực thiết lập hệ thống quản lý an tồn thơng tin đơn vị Sau nghiên cứu phương pháp đưa phần cần thực quản lý an tồn thơng tin, dựa vào kết khảo sát đơn vị, luận văn tập trung đưa giải pháp mà chưa xây dựng, triển khai đơn vị việc triển khai đơn vị chưa đầy đủ, hiệu Các giải pháp chi tiết đưa chương ba đánh giá kết triển khai CHƯƠNG KHUNG QUẢN LÝ DỮ LIỆU 1.1 KHÁI NIỆM CHUNG VỀ QUẢN LÝ DỮ LIỆU 1.1.1 Định nghĩa thông tin liệu Ngày nay, nhiều tổ chức nhận liệu tài sản vô quan trọng doanh nghiệp Dữ liệu thông tin cung cấp nhìn sâu sắc khách hàng, sản phẩm dịch vụ họ qua giúp doanh nghiệp đổi đạt mục tiêu chiến lược [1], [3] Mặc dù thừa nhận tổ chức chủ động quản lý liệu tài sản để khai thác giá trị liên tục từ liệu Giá trị mang lại từ liệu cách ngẫu nhiên mà q trình xây dựng mục tiêu, chiến lược, kế hoạch, điều phối có cam kết Đòi hỏi việc quản trị lãnh đạo Dữ liệu thông tin không tài sản tổ chức mà tổ chức cần đầu tư vào việc quản trị liệu, thơng tin để thu lợi tương lai Dữ liệu thông tin quan trọng thiết yếu tổ chức hoạt động hàng ngày, coi “dòng máu sống”, chí “dầu mỏ mới” kinh tế thơng tin Do tổ chức phải quản trị nguồn liệu để qua tăng khả định kết phân tích liệu [3], [9] Dữ liệu hiểu thông tin lưu trữ dạng số (mặc dù liệu không giới hạn thông tin số hóa hay quản lý giấy hay sở liệu) Tuy nhiên, ngày nắm bắt nhiều thông tin điện tử, gọi nhiều thứ “dữ liệu”, thứ mà trước khơng coi liệu như: tên, địa chỉ, ngày sinh, người ăn bữa tối thứ bảy, sách hay mua nhiều [3], [9] 86 Mục A.18.2.1 Yêu cầu Xem xét độc lập an ninh thông tin Câu hỏi chi tiết Tổ chức tiếp cận đánh giá an ninh thông tin thông qua xem xét độc lập thường xuyên? Thực thi kiểm soát an ninh qua xem xét độc lập? A.18.2.2 Tuân thủ sách tiêu chuẩn an ninh Tổ chức có yêu cầu nhà quản lý thường xuyên xem xét việc tuân thủ sách, thủ tục an ninh thơng tin phạm vi nhà quản lý chịu trách nhiệm? Hồ sơ xem xét trì? A.18.2.3 Xem xét phù hợp kỹ thuật Hệ thống thông tin thường xuyên xem xét phù hợp/tuân thủ kỹ thuật? Kết 87 PHỤ LỤC Ma trận đánh giá rủi ro Phân loại tần suất/ khả xảy (LIKELIHOOD) STT Các yếu tố đánh giá Tần suất xảy Tần suất Khả xảy Cơ hội Rất Cao (Almost Certain) Nhiều lần/tháng >90% Dự kiến, chắn xảy hầu hết trường hợp Cao (Likely) Nhiều lần/quý lần/tháng >60% Có khả xảy hầu hết trường hợp Trung bình (Possible) Ít lần/tháng nhiều lần/năm >=10 % Có khả xảy số lần Thấp (Unlikely/ Rare) Ít lần/năm < 10% Chỉ xảy số trường hợp đặc biệt 88 Phân loại mức độ ảnh hưởng (IMPACT) STT Mức độ ảnh hưởng Các yếu tố đánh giá phi tài Uy tín, danh tiếng Chất lượng dịch vụ Đặc biệt nghiêm trọng (Severe) Uy tín, danh tiếng tổ chức bị huỷ hoại nghiêm trọng, khó có khả khơi phục Có khả gây ảnh hưởng nghiêm trọng tỷ lệ cán việc tăng cao, tăng >20% so với mức trung bình) Nghiêm trọng (Major) Uy tính, danh tiếng tổ chức bị ảnh hưởng nghiêm trọng, có khả cần nhiều chi phí nguồn lực cho việc khơi phục lại hình ảnh Có khả ảnh hưởng lớn tới tỷ lệ việc cán tới 10-20% so vơi mức trung bình) Ảnh hưởng lớn tới chất lượng dịch vụ Số lượng phản ánh khách hàng chất lượng dịch vụ tăng cao, khoảng từ 20%- 50% so với mức trung bình Trung bình (Moderate) Có ảnh hưởng nhỏ tới danh tiếng, hình ảnh tổ chức, cần khoản chi phí, nguồn lực định có việc khơi phục lại hình ảnh tổ chức khơng đáng kể Có phát sinh ảnh hưởng tới chất lượng dịch vụ cung cấp cho khách hàng Số lượng phản ánh khách hàng tăng khoảng 5%- 20% so với mức trung bình Khơng có ảnh hưởng tới hình ảnh, danh tiếng tổ chức Khơng có ảnh hưởng tới chất lượng dich vụ cung cấp cho khách hàng Hoặc có ảnh hưởng không đáng kể, không phát sinh phản ánh khách hàng có vài phản ánh riêng lẻ Thấp (Insignificant) Ảnh hưởng nghiêm trọng tới chất lượng dịch vụ Số lượng phản ánh khách hàng phản ánh chất lượng dịch vụ tăng cao đột biến (khoảng 50% so với mức phản ánh trung bình) Pháp lý Mức độ cố có An tồn mặt Gián đoạn hoạt động thể gây người kinh doanh -Bị áp dụng điều chỉnh sách định có tác động nghiêm trọng đến hoạt động kinh doanh định hướng chiến lược VDS giấy phép, hạn chế mảng kinh doanh Có khả gây quan trọng cố mức - Các quan quản lý nhà nước có thẩm nghiêm trọng quyền tăng cường giám sát hoạt động ban hành số cảnh báo, giới hạn bất lợi - Phát sinh tranh chấp cần phải giải theo thủ tục tố tụng hành vi vi phạm pháp luật hình -Cơ quan quản lý nhà nước có thẩm quyền yêu cầu phải áp dụng thêm biện pháp kiểm soát định Có khả gây khoảng thời gian thỏa thuận (không cố mức lớn công bố công khai rộng rãi) - Bị phạt hành khơng tn thủ quy định pháp luật Đòi hỏi phải phục hồi lại hệ thống, khơng xác định Có nhiều trường Lớn 10 tỷ xác thời gian khôi phụ, hợp tử vong VNĐ gián đoạn hoạt động kinh doanh ngày Có phát trường hợp tử vong số Gây gián đoạn hoạt lượng lớn người động kinh doanh từ bị thương nặng ngày đến ngày cần điều trị bệnh viện Có khả phải báo cáo tới quan có thẩm quyền, quan quản lý nhiên Có khả gây không không bị quan áp đặt chế tài cố mức hay yêu cầu triển khai khắc phục trung bình Chính sách/quyết định pháp lý gây xáo trộn/gián đoạn hoạt động kinh doanh VDS Có ảnh hưởng tới sức khoẻ mặt người, bị thương có khả phải vào bệnh viện điều trị Sự kiện không cần phải báo cáo tới quan có thẩm quyền, quan quản lý Hầu khơng có ảnh hưởng tới hoạt động kinh doanh VDS Khơng có ảnh hưởng bị ảnh hưởng Hầu không ảnh sức khoẻ mức hưởng đến hoạt động nhẹ kinh doanh cần y tá hỗ trợ thuốc chữa thơng thường Có khả gây cố mức nhỏ Mức độ ảnh hưởng tài Lớn hơn1 tỷ VNĐ nhỏ 10 tỷ VNĐ Gây gián đoạn hoạt Lớn 100 động kinh doanh triệu VNĐ vài (không nhỏ ngày làm việc) tỷ VNĐ Nhỏ 100 triệu VNĐ 89 Ma trận đánh giá rủi ro IMPACT L I K E L I H O O D Rất Cao (Almost Certain) (4) Đặc biệt nghiêm trọng (Severe) (4) Nghiêm trọng (Major) (3) Trung bình (Moderate) (2) Thấp (Insignificant) (1) 16 (RẤT CAO) 12 (RẤT CAO) (CAO) (TRUNG BÌNH) (CAO) (TRUNG BÌNH) (THẤP) (CAO) 6(TRUNG BÌNH ) (TRUNG BÌNH) (THẤP) (TRUNG BÌNH) (THẤP) (THẤP) (THẤP) Cao (Likely) (3) 12 (RẤT CAO) Trung bình (Possible) (2) Thấp (Unlikely/ Rare) (1) 90 PHỤ LỤC Danh sách phân tích rủi ro cho liệu viễn thơng Thơng tin hệ thống Tính cước viễn thơng Loại thông tin (Khách hàng/ Nội bộ) Mức độ quan trọng thông tin Chi tiết thông tin Dữ liệu thơng tin khiếu nại khách hàng Hệ thống tính cước viễn thông khách hàng Rất quan trọng Dữ liệu lịch sử khiếu nại khách hàng Hệ thống tính cước viễn thơng khách hàng Rất quan trọng Dữ liệu báo cáo chăm sóc khách hàng Hệ thống tính cước viễn thơng khách hàng Rất quan trọng Tài sản Nơi đặt lưu trữ thông tin STT Người/Bộ phận Giá trị quản lý Mối đe dọa Điểm yếu 91 Dữ liệu thông tin khiếu nại khách hàng Dữ liệu Lịch sử khiếu nại khách hàng Dữ liệu báo cáo chăm sóc khách hàng (BCCS CC) IT Cao Bị công Rà quét lỗ hổng, điểm yếu kỹ thuật, kiểm thử công (từ nội từ bên ngoài) thiếu định kỳ IT Cao Thiếu dung lượng Thiếu phần đánh giá capacity định kỳ (cả phần cứng, phần mềm) IT Cao IT Cao IT Cao Chưa thực DR site IT Cao Gửi thông tin khách hàng qua email IT Cao IT Cao IT Cao IT Cao Thiếu việc thử restore liệu IT Cao Chưa có giám sát log truy cập database tập trung Thông tin thiếu backup đầy đủ, định kỳ Thơng tin bị sửa, xóa trái phép Chưa backup liệu tape Thông tin khiếu nại Upload thông tin lên mạng/ server bên khách hàng bị lộ Quản lý mật truy cập App, DB, Server (hiện lọt thơng tin ngồi, tiết lộ thơng mật mạnh) tin cho đối thủ Sử dụng đối tác vào cơng tác CSKH có truy cập liệu 92 IT Cao Thông tin bị không khôi phục lại Thiếu diễn tập kịch có cố, thảm họa theo định kỳ ... Động đất - Thi? ??u biện pháp bảo vệ có thi? ?n tai xảy có hệ thống Backup DR 1.2 Bão - Thi? ??u biện pháp bảo vệ có thi? ?n tai xảy có hệ thống Backup DR 1.3 Lũ lụt - Thi? ??u biện pháp bảo vệ có thi? ?n tai... Các thi? ??t bị không bảo vệ - Thi? ??u thi? ??t bị firewall (tường lửa) - Không thực test lỗ hổng hệ hống mạng (test penetration network) 5.5 Rò rỉ thông tin - Thi? ??u điều kiện bảo mật tới nhà thầu - Thi? ??u... 1.4 Hỏng phần cứng - Thi? ??u chế giám sát việc sử dụng hệ thống - Thi? ??u kế hoạch bảo trì định kỳ - Thi? ??u quản lý hiệu năng, dung lượng - Khơng có kế hoạch thay định kỳ - Sử dụng thi? ??t bị không chức