ĐẠI HỌC QUỐC GIA HÀ NỘI TRƯỜNG ĐẠI HỌC CÔNG NGHỆ TRẦN THỊ NGUYỆT NGHIÊN CỨU XÂY DỰNG KHUNG QUẢN TRỊ DỮ LIỆU CHO VIỆC QUẢN LÝ DỮ LIỆU CỦA TỔNG CÔNG TY MẠNG LƯỚI VIETTEL LUẬN VĂN THẠC SĨ CÔNG NGHỆ THÔNG TIN Hà Nội - 2019 ĐẠI HỌC QUỐC GIA HÀ NỘI TRƯỜNG ĐẠI HỌC CÔNG NGHỆ TRẦN THỊ NGUYỆT NGHIÊN CỨU XÂY DỰNG KHUNG QUẢN TRỊ DỮ LIỆU CHO VIỆC QUẢN LÝ DỮ LIỆU CỦA TỔNG CÔNG TY MẠNG LƯỚI VIETTEL Chuyên ngành: Hệ thống thông tin Mã số: 8480104.01 LUẬN VĂN THẠC SĨ CÔNG NGHỆ THÔNG TIN Giáo viên hướng dẫn: PGS TS Phan Xuân Hiếu Hà Nội - 2019 i LỜI CẢM ƠN Tôi xin trân trọng cảm ơn thầy cô Đại Học Công Nghệ- Đại Học Quốc Gia Hà Nội tạo điều kiện cho học viên lớp cao học K24CNTT môi trường học tập hiệu quả, đồng thời truyền đạt cho học viên lượng kiến thức kinh nghiệm quý báu phục vụ cho q trình học tập cơng tác tương lai Cách thức làm việc, học hỏi thầy cô truyền cảm hứng cho phát huy tinh thần học hỏi chủ động tự học để nâng cao kỹ năng, kiến thức cho thân Tôi xin trân trọng cảm ơn ban lãnh đạo Tổng công ty Mạng lưới Viettel anh chị phòng Kỹ Thuật Nghiệp vụ Tổng công ty đại diện đứng tổ chức lớp học cho cán nhân viên tổng cơng ty Để người vừa làm việc vừa trao đổi, vận dụng kiến thức học vào thực tế hiệu Đặc biệt, cảm ơn sâu sắc đến PGS.TS Phan Xuân Hiếu bảo cho tơi suốt q trình học tập làm luận văn, giúp tơi có thêm tâm để nghiên cứu hoàn thiện luận văn Tơi xin gửi lời cảm ơn đến bạn lớp Cao học Hệ thống Thông tin K24CNTT giúp đỡ, động viên, khích lệ tơi suốt thời gian học tập Tôi xin gửi lời cảm ơn tới gia đình động viên, giúp đỡ tơi q trình hồn thành luận văn Với lượng kiến thức kinh nghiệm cịn nên luận văn khơng tránh khỏi thiếu sót Tơi xin trân trọng tiếp thu ý kiến thầy, cô, bạn bè để luận văn hoàn thiện Trân trọng cám ơn ii MỤC LỤC LỜI CẢM ƠN i MỤC LỤC ii DANH MỤC CÁC KÝ HIỆU VÀ CHỮ VIẾT TẮT iv DANH MỤC CÁC HÌNH VẼ, ĐỒ THỊ vi MỞ ĐẦU CHƯƠNG KHUNG QUẢN LÝ DỮ LIỆU 1.1 Khái niệm chung quản lý liệu 1.1.1 Định nghĩa thông tin liệu 1.1.2 Quản lý liệu 1.1.3 Quản trị liệu 1.1.4 Phân biệt quản lý quản trị liệu 1.1.5 Lợi ích tầm quan trọng quản lý liệu 1.1.6 Nguyên tắc quản lý liệu 1.1.7 Các lĩnh vực trọng tâm cần đề cập quản lý liệu 10 1.1.8 Các bước để thực quản lý liệu 11 1.2 Khung quản lý liệu 12 1.3 Khung quản lý liệu viễn thông cho TCT mạng lưới VIettel 17 CHƯƠNG QUẢN LÝ ATTT TRONG DOANH NGHIỆP 22 2.1 ĐỊNH NGHĨA AN TỒN THƠNG TIN 22 2.2 CÁC PHƯƠNG PHÁP QUẢN LÝ AN TỒN THƠNG TIN 22 2.2.1 Tiêu chuẩn quản lý an tồn thơng tin ISO27001:2013 22 2.2.2 Phương pháp tiếp cận 24 2.2.3 Phương pháp quản lý rủi ro 224 2.3 KHUNG QUẢN LÝ AN TỒN THƠNG TIN 27 3.1.1 CHƯƠNG 3.1.2 GIẢI PHÁP NÂNG CAO NĂNG LỰC QUẢN LÝ AN TỒN THƠNG TIN DỮ LIỆU VIỄN THÔNG 33 3.1.3 3.1 Phương pháp quản lý rủi ro 33 Nguyên lý quản lý rủi ro cho tổ chức 34 Mơ hình tổ chức phương pháp quản lý rủi ro 35 Quy trình quản lý rủi ro 37 iii Thực đánh giá rủi ro cho hệ thống liệu viễn thông xây dựng kế hoạch xử lý rủi ro 39 3.2 Quản lý an toàn vận hành 41 3.3 Quản lý tính liền mạch, liên tục kinh doanh 43 KẾT 3.1.4 LUẬN 45 TÀI LIỆU THAM KHẢO 47 PHỤ LỤC Danh sách điểm yếu, đe dọa dùng để phân tích rủi ro an tồn liệu viễn thông 49 PHỤ LỤC 2: Checklist khảo sát đánh giá rủi ro cho liệu viễn thông 54 PHỤ LỤC Ma trận đánh giá rủi ro 82 PHỤ LỤC Danh sách phân tích rủi ro cho liệu viễn thông 85 iv DANH MỤC CÁC KÝ HIỆU VÀ CHỮ VIẾT TẮT STT Ký hiệu/ Chữ viết tắt Ý nghĩa ANTT An toàn thơng tin BCP Kế hoạch đảm bảo tính liên tục kinh doanh – Business Contuinity Plan CNTT Công nghệ thông tin DAMA Hiệp hội quản lý liệu quốc tế DG Data Governance – Quản trị liệu DGI Data Governance Institute - Viện quản trị liệu HMRR Hạng mục rủi ro ISMS Hệ thống quản lý an tồn thơng tin – Information Security Management System KĐRR Khẩu độ rủi ro 10 QTDL Quản trị liệu 11 QLDL Quản lý liệu 12 QTRR Quản trị rủi ro 13 QLRR Quản lý rủi ro v DANH MỤC CÁC BẢNG BIỂU STT Bảng Bảng 3.1 Tên bảng Bảng 3.1 Bảng đánh giá rủi ro liệu viễn thông vi DANH MỤC CÁC HÌNH VẼ, ĐỒ THỊ STT Chương Mục Hình Tên hình vẽ 1 1.1 Hình 1.1 Hình 1 Tháp liệu 1.2 Hình 1.2 Hình 1.2 Khung quản lý liệu DAMAOK 1.3 Hình 1.3 Hình 1.3 Khung quản lý liệu viễn thơng 2.1 Hình 2.1 Hình 2.1 Lộ trình triển khai ISO27001:2013 2.2 Hình 2.2 Hình 2.2 Mơ hình PDCA 2.2 Hình 2.3 Hình 2.3 Mơ hình PDCA ISO27001 2.3 Hình 2.4 Hình 2.4 Các lĩnh vực ATTT 3.1 Hình 3.1 Hình 3.1 Tháp quản lý rủi ro tổ chức viễn thông 10 14 15 16 3 3 3 3.1 3.1 3.1 3.2 3.3 Hình 3.2 Hình 3.2 Mơ hình kiểm sốt rủi ro liệu viễn thơng lớp Hình 3.3 Hình 3.3 Quy trình quản lý rủi ro Hình 3.4 Hình 3.4 Cơng cụ quản lý rủi ro liệu viễn thơng Hình 3.5 Hình 3.5 Khung quy trình vận hành khai thác hệ thống thơng tin viễn thơng Hình 3.6 Hình 3.6 Kế hoạch đảm bảo tính liên tục cho hệ thống viễn thông MỞ ĐẦU Ngày liệu coi tài sản quan trọng, việc quản lý liệu đảm bảo an tồn thơng tin cho liệu nhu cầu sống đơn vị Kết phân tích liệu đóng vai trị then chốt cho định ban lãnh đạo, để tăng tính tin cậy kết phân tích liệu u cầu bắt buộc đơn vị phải có phương pháp quản lý liệu cho đơn vị hiệu đảm bảo chất lượng [3] Việc thu thập, khai thác sử dụng liệu cách hiệu yếu tố quan trọng, định phát triển tổ chức Tổ chức khai thác liệu rõ giá trị liệu sở hữu: liệu đâu, làm để sử dụng, liệu tích hợp với ứng dụng nào, đâu, thời gian nào, v.v Chất lượng liệu dẫn tới gia tăng rủi ro hoạt động, chiến lược, ảnh hưởng đến việc hỗ trợ định, hoạt động kế hoạch hàng ngày từ lãnh đạo đơn vị ảnh hưởng tới hoạt động, phát triển bền vững tổ chức Chất lượng liệu khai thác liệu hiệu cần đơi việc đảm bảo An tồn thông tin (ATTT) cho liệu [1][3] Quản lý liệu kết hợp người, quy trình kỹ thuật cho phép tổ chức tối ưu hóa, bảo vệ sử dụng ng̀n liệu (cấu trúc phi cấu trúc) cách hiệu tài sản doanh nghiệp Khung quản lý liệu gờm có hợp phần về: Quản trị liệu, cấu trúc liệu, mơ hình thiết kế liệu, lưu trữ vận hành liệu, an tồn liệu, tích hợp liệu, quản lý văn nội dung, công cụ báo cáo quản trị, siêu liệu (metadata) chất lượng liệu [3] Sau nhận thấy tầm quan trọng việc quản lý liệu, đánh giá khảo sát trạng tổ chức gặp phải nhiều vấn đề việc quản lý liệu quản lý liệu phân tán, không tập trung Với án liên quan đến liệu thời gian để thu thập, làm liệu tốn đa số thời gian dự án.Việc quản lý an tồn thơng tin liệu tổ chức chưa triển khai theo phương pháp tổng thể Khi lãnh đạo thấy vấn đề, cố phát sinh hay có vấn đề cộm lên đạo dờn ng̀n lực vào xử lý, mà khơng có biện pháp quản lý tổng thể Hoạt động vận hành tổ chức ưu tiên vấn đề “chữa cháy” việc ưu tiên “phịng cháy” Ng̀n lực nhân vận hành tổ chức dồn tập trung vào việc xử lý vụ việc, cố, vấn đề ưu tiên việc đưa phương pháp quản lý tổng thể, quản lý rủi ro để giảm vấn đề vụ cải tiến liên tục hệ thống Các cơng việc mang tính bị động, xảy xử lý Ngồi ra, tổ chức hoạt động lĩnh vực viễn thông, hệ thống lõi cần đảm bảo tính sẵn sàng liên tục cao, nhiên phương án dự phịng, đảm bảo tính liền mạch, ứng cứu xảy gián đoạn chưa có tính chủ động chưa thử nghiệm định kỳ phương án Song song với vấn đề thực tổ chức giới, giải pháp quản lý liệu an ninh liệu cập nhật phương pháp giải pháp mới ISO27001:2013, ISO31000:2018 Từ vấn đề trên, luận văn thực nghiên cứu về: NGHIÊN CỨU XÂY DỰNG KHUNG QUẢN TRỊ DỮ LIỆU CHO VIỆC QUẢN LÝ DỮ LIỆU CỦA TỔNG CÔNG TY MẠNG LƯỚI VIETTEL Mục đích nghiên cứu: Mục đích luận văn nghiên cứu để đưa cách thức phương pháp quản lý để giải vấn đề bất cập tổ chức Xây dựng khung quản lý liệu cho liệu viễn thông Các hợp phần quan trọng tổ chức cần thực quản lý muốn tăng chất lượng liệu khả tin cậy liệu bao gồm: quản trị, thu thập/ lưu trữ, chất lượng, truy cập cung cấp, phân tích, an ninh liệu Tuy nhiên, thời gian nghiên cứu, triển khai hạn hẹp, luận văn chưa đủ thời gian để nghiên cứu triển khai hết tất hợp phần Nên phạm vi luận văn em xin phép tập trung nghiên cứu sâu xây dựng triển khai giải pháp hợp phần khung quản lý phần quản lý an tồn thơng tin Tập trung đề xuất giải pháp để nâng cao lực an tồn thơng tin cho liệu viễn thơng Mục đích việc triển khai giải pháp quản lý an tồn thơng tin tồn diện cho liệu viễn thơng nhằm đảm bảo cho hệ thống công nghệ thông tin, viễn thông tổng công ty đạt yêu cầu an tồn, bảo mật Các thơng tin quản lý đảm bảo tính bí mật, tồn vẹn, xác thực sẵn sàng Đờng thời nâng cao tính liên tục không bị gián đoạn giúp hệ thống thông tin vận hành liên tục, chống lại cố an tồn thơng tin, cơng từ nội từ bên ngồi Qua nâng cao mức độ tin cậy đối với đối tác khách hàng làm việc đơn vị Bên cạnh việc tăng cường hoạt động, quản lý, phòng ngừa, phát sớm điểm rủi ro để có hành động xử lý sớm giảm khả rủi ro xuất Qua giảm tỷ lệ cố phát sinh cần xử lý 72 Mục Yêu cầu Câu hỏi chi tiết Việc lưu thực theo quy định? Sao lưu kiểm tra? A.12.4 Đăng nhập kiểm soát A.12.4.1 Sự kiện đăng nhập Sự kiện đăng nhập ghi lại kiểm soát thường xuyên? A.12.4.2 Bảo vệ thông tin đăng nhập Phương tiện đăng nhập bảo vệ chống lại can thiệp truy nhập trái phép? A.12.4.3 Người quản trị vận hành đăng nhập Đăng nhập quản trị hệ thống/vận hành hệ thống trì, bảo vệ thường xun kiểm sốt? A.12.4.4 Đồng thời gian Thời gian hệ thống tất thiết bị tổ chức đồng bộ? A.12.5 Kiểm soát phần mềm hoạt động A.12.5.1 Cài đặt phần mềm hệ thống hoạt động A.12.6 Quản lý điểm yếu kỹ thuật A.12.6.1 Quản lý điểm yếu kỹ thuật Có quy trình quản lý triển khai để kiểm soát cài đặt phần mềm hệ thống hoạt động? Tổ chức có xem xét thơng tin cập nhật định kỳ lỗ hổng kỹ thuật? Kết 73 Mục Yêu cầu Câu hỏi chi tiết Có quy trình đánh giá rủi ro phản ứng với lỗ hổng mới phát hiện? A.12.6.2 Hạn chế cài đặt phần mềm A.12.7 Xem xét đánh giá hệ thống thơng tin A.12.7.1 Kiểm sốt đánh giá hệ thống thơng tin Có quy trình hạn chế cài đặt phần mềm? Có thực đánh giá an ninh thông tin cho hệ thống thông tin? Quy trình đánh giá có đảm bảo giảm thiểu gián đoạn kinh doanh? A.13 An ninh truyền thông A.13.1 Quản lý an ninh mạng A.13.1.1 Kiểm sốt mạng Có quy trình quản lý mạng? A.13.1.2 Bảo vệ dịch vụ mạng Tổ chức có thực thi quản lý rủi ro theo thoat thuận cho tất dịch vụ mạng dịch vụ? Bảo vệ dịch vụ mạng rõ/tuân theo thỏa thuận hợp đồng với nhà cung cấp dịch vụ (bao gờm nội tổ chức th ngồi)? Bảo vệ dịch vụ có liên quan tới SLA ký kết? Kết 74 Mục Yêu cầu A.13.1.3 Sự chia tách mạng A.13.2 Truyền thông tin A.13.2.1 Thủ tục sách truyền thơng tin Câu hỏi chi tiết Cấu hình mạnh có bắt buộc chia tách mạng theo nhiệm vụ khác nhau? Có sách việc truyền thơng tin? Tất nhân viên có đảm bảo sẵn sàng thủ tục truyền thơng tin? Có kiểm soát kỹ thuật ngăn chặn phương thức truyền liệu trái phép? A.13.2.2 Thỏa thuận truyền thông tin Hợp đồng với đối tác thỏa thuận nội tổ chức có rõ yêu cầu đảm bảo an an ninh truyền thông tin kinh doanh? A.13.2.3 Tin nhắn điện tử Chính sách bảo mật bao gờm truyền thông tin qua hệ thống tin nhắn điện tử? A.13.2.4 /Thỏa thuận bí mật khơng tiết lộ Có ký thỏa thuận bí mật khơng tiết lộ với nhân viên, đối tác đại lý? Có thường xuyên rà soát thỏa thuận? Bản ghi thỏa thuận bảo quản, trì? Kết 75 Mục Yêu cầu A.14 Tiếp nhận hệ thống, phát triển bảo trì A.14.1 Yêu cầu an ninh với hệ thống thông tin A.14.1.1 Phân tích tiêu chuẩn hóa u cầu bảo mật thông tin Câu hỏi chi tiết Phải rõ yêu cầu bảo mật thông tin giới thiệu hệ thống mới? Khi nâng cấp cập nhật hệ thống, có rõ u cầu bảo mật thơng tin? A.14.1.2 Bảo mật/bảo vệ dịch vụ ứng dụng mạng công cộng Ứng dụng gửi thông tin qua mạng cơng cộng có bảo vệ thơng tin chống lại gian lận, tranh chấp hợp đồng, tiết lộ trái phép chỉnh sửa trái phép? Bảo vệ giao dịch dịch vụ ứng dụng Có kiểm sốt chống lại lỗi kênh truyền, định tuyến sai, xác nhận tin nhắn trái phép, tiết lộ trái phép, lặp tin nhắn trái phép cơng? A.14.1.3 A.14.2 Bảo mật quy trình phát triển hỗ trợ A.14.2.1 Chính sách phát triển an tồn Tổ chức có phát triển phần mềm hệ thống? Có sách rõ việc triển khai đánh giá kiểm soát bảo mật phát triển phần mềm, hệ thống? Kết 76 Mục A.14.2.2 Yêu cầu Câu hỏi chi tiết Thủ tục kiểm soát thay đổi hệ thống Có quy trình kiểm sốt thay đổi? A.14.2.3 Xem xét công nghệ ứng dụng sau thay đổi tảng hoạt động Có quy trình triển khai xem xét công nghệ ứng dụng thay đổi tảng hoạt động? A.14.2.4 Hạn chế thay đổi với gói phần mềm Có quy định thời điểm cách thức thay đổi điều chỉnh gói phần mềm? A.14.2.5 Nguyên tắc an tồn hệ thống kỹ thuật Tổ chức có đưa nguyên tắc cách thức đánh giá kỹ thuật hệ thống đảm bảo an tồn? A.14.2.6 Mơi trường phát triển an tồn Có thiết lập mơi trường phát triển an toàn? Tất dự án tận dụng mơi trường phát triển an tồn phù hợp suốt trình phát triển hệ thống? A.12.2.7 Phát triển thuê ngồi Có thực giám sát th ngồi phát triển? Có xem xét an ninh với mã ng̀n th phát triển trước triển khai? A.12.2.8 Kiểm tra an ninh hệ thống Có kiểm tra an ninh trình phát triển với hệ thống ứng dụng? A.12.2.9 Kiểm tra độ chấp nhận hệ thống Có quy trình việc chấp nhận hệ thống mới, ứng dụng mới Kết 77 Mục Yêu cầu Câu hỏi chi tiết phiên mới đưa vào sử dụng A.14.3 Dữ liệu kiểm tra A.14.3.1 Bảo vệ liệu kiểm tra Có quy trình cho việc lựa chọn liệu kiểm tra? Dữ liệu kiểm tra bảo vệ? A.15 Quan hệ với nhà cung cấp A.15.1 An toàn thông tin quan hệ với nhà cung cấp A.15.1.1 Chính sách an tồn thơng tin cho quan hệ với nhà cung cấp Hợp đồng với nhà cung cấp, đối tác cung cấp dịch vụ bao gồm điều khoản bảo mật thơng tin? Có quản lý rủi ro tổ chức đáp ứng mối quan hệ với nhà cung cấp? A.15.1.2 Chỉ rõ phạm vi an toàn thỏa thuận với nhà cung cấp Nhà cung cấp cung cấp văn yêu cầu an toàn? Nhà cung cấp có tiếp cận tài sản thơng tin hạ tầng thơng tin kiểm sốt giám sát tổ chức? A.15.1.3 Chuỗi cung ứng thông tin công nghệ truyền thông Thỏa thuận với nhà cung cấp bao gồm yêu cầu rõ bảo mật thông tin chuỗi cung ứng dịch vụ sản phẩm? Kết 78 Mục Yêu cầu Câu hỏi chi tiết A.15.2 Quản lý phân phối nhà cung cấp dịch vụ A.15.2.1 Giám sát xem xét dịch vụ cung ứng Có đánh giá xem xét thường xuyên nhà cung cấp? A.15.2.2 Quản lý thay đổi đến nhà cung cấp dịch vụ Thay đổi cung cấp dịch vụ có tuân theo quy trình quản lý bao gờm đánh giá bảo mật rủi ro? A.16 Quản lý cố an toàn thơng tin A.16.1 Quản lý cố an tồn thơng tin cải tiến A.16.1.1 Trách nhiệm thủ tục Trách nhiệm quản lý xác định quy định quy trình quản lý cố? A.16.1.2 Báo cáo kiện an ninh thơng tin Có quy trình báo cáo định kỳ kiện an ninh thông tin? Có quy trình việc xem xét hành động với kiện an ninh thông tin? A.16.1.3 Báo cáo điểm yếu an ninh thơng tin Có quy trình việc báo cáo điểm yếu an ninh thông tin tìm được? Quy trình báo cáo điểm yếu an ninh thông tin truyền thông rộng rãi? Kết 79 Mục Yêu cầu Câu hỏi chi tiết Có quy trình việc xem xét xác định báo cáo định kỳ bắt buộc? A.16.1.4 Đánh giá định kiện an ninh thơng tin Có quy trình đảm bảo kiện an ninh thông tin đánh giá phân loại? A.16.1.5 Phản hồi với cố an ninh thơng tin Có quy trình phản hời cố nhằm đưa bảng phân loại mức độ cố an ninh thông tin? Bài học từ cố an ninh thơng tin Có quy trình framework cho phép tổ chức học hỏi từ cố an ninh thông tin giảm thiểu kiện tương tự xảy tương lai? Tập hợp chứng Có sách thu thập điều tra? A.16.1.6 A.16.1.7 Khi xảy cố an ninh thông tin, liệu liên quan có thu thập để sử dụng làm chứng? A.17 Hướng bảo mật thông tin quản lý doanh nghiệp liên tục A.17.1 Bảo mật thông tin liên tục A.17.1.1 Kế hoạch bảo mật thông tin liên tục Kế hoạch liên tục tổ chức bao gồm việc bảo mật thông tin? A.17.1.2 Thực thi bảo mật thông tin liên tục Chức bảo mật thông tin tổ chức bao gồm thiết lập, thực trì quy trình để đảm bao tính liên tục dịch vụ Kết 80 Mục Yêu cầu Câu hỏi chi tiết tình bất lợi? A.17.1.3 Kiểm chứng, xem xét đánh giá tính liên tục bảo mật thơng tin A.17.2 Dư thừa A.17.2.1 Tính sẵn sàng công cụ xử lý thông tin A.18 Tuân thủ A.18.1 Tuân thủ pháp lý yêu cầu hợp đồng A.18.1.1 Phân biệt điều luật áp dụng yêu cầu hợp đồng Kế hoạch đánh giá tính liên tục thực hiện, kiểm chứng thường trình? Công cụ xử lý thông tin đảm bảo đáp ứng yêu cầu tính sẵn sàng tổ chức? Tổ chức có xác định dẫn chứng tài liệu luật định, quy định, yêu cầu hợp đồng liên quan tới bảo mật? Tuân thủ quy định dạng văn bản? A.18.1.2 Quyền sở hữu trí tuệ Tổ chức có lưu giữ hờ sơ quyền sở hữu trí tuệ quyền sử dụng sản phẩm phần mềm tự phát triển? Tổ chức có giám sát việc sử dụng phần mềm không phép? A.18.1.3 Bảo vệ hồ sơ Có bảo vệ hờ sơ tránh mất, phá hủy, làm giả, truy cập Kết 81 Mục Yêu cầu Câu hỏi chi tiết công bố trái phép theo luât định, quy định, yêu cầu hợp đồng kinh doanh? A.18.1.4 Sự riêng tư bảo vệ thông tin cá nhân Thông tin cá nhân xác định phân loại? Bảo vệ thông tin cá nhân tuân theo luật định hành? A.18.1.5 Quy định kiểm soát mật mã A.18.2 Xem xét an ninh thông tin A.18.2.1 Xem xét độc lập an ninh thơng tin Kiểm sốt mật mã có phù hợp với tất thỏa thuận, điều luật quy định có liên quan? Tổ chức tiếp cận đánh giá an ninh thông tin thông qua xem xét độc lập thường xuyên? Thực thi kiểm soát an ninh qua xem xét độc lập? A.18.2.2 Tuân thủ sách tiêu chuẩn an ninh Tổ chức có yêu cầu nhà quản lý thường xuyên xem xét việc tuân thủ sách, thủ tục an ninh thông tin phạm vi nhà quản lý chịu trách nhiệm? Hồ sơ xem xét trì? A.18.2.3 Xem xét phù hợp kỹ thuật Hệ thống thông tin thường xuyên xem xét phù hợp/tuân thủ kỹ thuật? Kết 82 PHỤ LỤC Ma trận đánh giá rủi ro Phân loại tần suất/ khả xảy (LIKELIHOOD) STT Các yếu tố đánh giá Tần suất xảy Tần suất Khả xảy Cơ hội Rất Cao (Almost Certain) Nhiều lần/tháng >90% Dự kiến, chắn xảy hầu hết trường hợp Cao (Likely) Nhiều lần/quý lần/tháng >60% Có khả xảy hầu hết trường hợp Trung bình (Possible) Ít lần/tháng nhiều lần/năm >=10 % Có khả xảy số lần Thấp (Unlikely/ Rare) Ít lần/năm < 10% Chỉ xảy số trường hợp đặc biệt 83 Phân loại mức độ ảnh hưởng (IMPACT) STT Mức độ ảnh hưởng Các yếu tố đánh giá phi tài Uy tín, danh tiếng Chất lượng dịch vụ Đặc biệt nghiêm trọng (Severe) Uy tín, danh tiếng tổ chức bị huỷ hoại nghiêm trọng, khó có khả khơi phục Có khả gây ảnh hưởng nghiêm trọng tỷ lệ cán việc tăng cao, tăng >20% so với mức trung bình) Nghiêm trọng (Major) Uy tính, danh tiếng tổ chức bị ảnh hưởng nghiêm trọng, có khả cần nhiều chi phí ng̀n lực cho việc khơi phục lại hình ảnh Có khả ảnh hưởng lớn tới tỷ lệ thơi việc cán tới 10-20% so vơi mức trung bình) Ảnh hưởng lớn tới chất lượng dịch vụ Số lượng phản ánh khách hàng chất lượng dịch vụ tăng cao, khoảng từ 20%- 50% so với mức trung bình Trung bình (Moderate) Có ảnh hưởng nhỏ tới danh tiếng, hình ảnh tổ chức, cần khoản chi phí, ng̀n lực định có việc khơi phục lại hình ảnh tổ chức khơng đáng kể Có phát sinh ảnh hưởng tới chất lượng dịch vụ cung cấp cho khách hàng Số lượng phản ánh khách hàng tăng khoảng 5%- 20% so với mức trung bình Khơng có ảnh hưởng tới hình ảnh, danh tiếng tổ chức Khơng có ảnh hưởng tới chất lượng dich vụ cung cấp cho khách hàng Hoặc có ảnh hưởng khơng đáng kể, không phát sinh phản ánh khách hàng có vài phản ánh riêng lẻ Thấp (Insignificant) Ảnh hưởng nghiêm trọng tới chất lượng dịch vụ Số lượng phản ánh khách hàng phản ánh chất lượng dịch vụ tăng cao đột biến (khoảng 50% so với mức phản ánh trung bình) Pháp lý Mức độ cố có An tồn mặt Gián đoạn hoạt động thể gây người kinh doanh -Bị áp dụng điều chỉnh sách định có tác động nghiêm trọng đến hoạt động kinh doanh định hướng chiến lược VDS giấy phép, hạn chế mảng kinh doanh Có khả gây quan trọng cố mức - Các quan quản lý nhà nước có thẩm nghiêm trọng quyền tăng cường giám sát hoạt động ban hành số cảnh báo, giới hạn bất lợi - Phát sinh tranh chấp cần phải giải theo thủ tục tố tụng hành vi vi phạm pháp luật hình -Cơ quan quản lý nhà nước có thẩm quyền yêu cầu phải áp dụng thêm biện pháp kiểm sốt định Có khả gây khoảng thời gian thỏa thuận (không cố mức lớn công bố công khai rộng rãi) - Bị phạt hành khơng tn thủ quy định pháp luật Địi hỏi phải phục hời lại hệ thống, khơng xác định Có nhiều trường Lớn 10 tỷ xác thời gian khôi phụ, hợp tử vong VNĐ gián đoạn hoạt động kinh doanh ngày Có phát trường hợp tử vong số Gây gián đoạn hoạt lượng lớn người động kinh doanh từ bị thương nặng ngày đến dưới ngày cần điều trị bệnh viện Có khả phải báo cáo tới quan có thẩm quyền, quan quản lý nhiên Có khả gây khơng không bị quan áp đặt chế tài cố mức hay yêu cầu triển khai khắc phục trung bình Chính sách/quyết định pháp lý gây xáo trộn/gián đoạn hoạt động kinh doanh VDS Có ảnh hưởng tới sức khoẻ mặt người, bị thương có khả phải vào bệnh viện điều trị Sự kiện không cần phải báo cáo tới quan có thẩm quyền, quan quản lý Hầu khơng có ảnh hưởng tới hoạt động kinh doanh VDS Khơng có ảnh hưởng bị ảnh hưởng Hầu không ảnh sức khoẻ mức hưởng đến hoạt động nhẹ kinh doanh cần y tá hỗ trợ thuốc chữa thơng thường Có khả gây cố mức nhỏ Mức độ ảnh hưởng tài Lớn hơn1 tỷ VNĐ nhỏ 10 tỷ VNĐ Gây gián đoạn hoạt Lớn 100 động kinh doanh triệu VNĐ vài (không nhỏ ngày làm việc) tỷ VNĐ Nhỏ 100 triệu VNĐ 84 Ma trận đánh giá rủi ro IMPACT L I K E L I H O O D Rất Cao (Almost Certain) (4) Đặc biệt nghiêm trọng (Severe) (4) Nghiêm trọng (Major) (3) Trung bình (Moderate) (2) Thấp (Insignificant) (1) 16 (RẤT CAO) 12 (RẤT CAO) (CAO) (TRUNG BÌNH) (CAO) (TRUNG BÌNH) (THẤP) (CAO) 6(TRUNG BÌNH ) (TRUNG BÌNH) (THẤP) (TRUNG BÌNH) (THẤP) (THẤP) (THẤP) Cao (Likely) (3) 12 (RẤT CAO) Trung bình (Possible) (2) Thấp (Unlikely/ Rare) (1) 85 PHỤ LỤC Danh sách phân tích rủi ro cho liệu viễn thông Thông tin hệ thống Tính cước viễn thơng Nơi đặt lưu trữ thơng tin Loại thông tin (Khách hàng/ Nội bộ) Mức độ quan trọng thông tin STT Chi tiết thông tin Dữ liệu thông tin khiếu nại khách hàng Hệ thống tính cước viễn thơng khách hàng Rất quan trọng Dữ liệu lịch sử khiếu nại khách hàng Hệ thống tính cước viễn thơng khách hàng Rất quan trọng Dữ liệu báo cáo chăm sóc khách hàng Hệ thống tính cước viễn thơng khách hàng Rất quan trọng Tài sản Dữ liệu thông tin khiếu nại Người/Bộ phận Giá trị quản lý IT Cao Mối đe dọa Bị công Điểm yếu Rà quét lỗ hổng, điểm yếu kỹ thuật, kiểm thử công (từ nội từ bên ngoài) thiếu định kỳ 86 khách hàng Dữ liệu Lịch sử khiếu nại khách hàng Dữ liệu báo cáo chăm sóc khách hàng (BCCS CC) Thiếu dung lượng Thiếu phần đánh giá capacity định kỳ (cả phần cứng, phần mềm) IT Cao IT Cao IT Cao IT Cao Chưa thực DR site IT Cao Gửi thơng tin khách hàng qua email ngồi IT Cao IT Cao IT Cao IT Cao IT Cao IT Cao Thông tin thiếu backup đầy đủ, định kỳ Thông tin bị sửa, xóa trái phép Chưa backup liệu tape Thông tin khiếu nại Upload thông tin lên mạng/ server bên ngồi khách hàng bị lộ lọt thơng tin ngoài, Quản lý mật truy cập App, DB, Server (hiện tiết lộ thông tin cho mật mạnh) đối thủ Sử dụng đối tác vào cơng tác CSKH có truy cập liệu Thiếu việc thử restore liệu Thông tin bị Chưa có giám sát log truy cập database tập trung không khôi phục lại Thiếu diễn tập kịch có cố, thảm họa theo định kỳ ... trên, luận văn thực nghiên cứu về: NGHIÊN CỨU XÂY DỰNG KHUNG QUẢN TRỊ DỮ LIỆU CHO VIỆC QUẢN LÝ DỮ LIỆU CỦA TỔNG CÔNG TY MẠNG LƯỚI VIETTEL Mục đích nghiên cứu: Mục đích luận văn nghiên cứu để... Hình 1.3 Khung quản lý liệu viễn thơng Như khung quản lý liệu viễn thông bao gờm: quản trị liệu gờm có: quản lý liệu, quản lý lưu trữ, quản lý vòng đời, quản lý liệu chủ, quản lý siêu liệu Hợp... khác 1.2 KHUNG QUẢN LÝ DỮ LIỆU Khung quản lý liệu đặt quản trị liệu vị trí trung tâm, quản trị cần thiết cho quán cân Tất thành phần khung quản lý liệu cần thiết cho tổ chức việc quản lý thơng