QUẢN TRỊ rủi RO DOANH NGHIỆP tại CÔNG TY KINH DOANH VIỄN THÔNG MOBIFONE

BỘ GIÁO DỤC VÀ ĐÀO TẠO TRƯỜNG ĐẠI HỌC NGOẠI THƯƠNG LUẬN VĂN THẠC SĨ ĐỀ TÀI: QUẢN TRỊ RỦI RO DOANH NGHIỆP TẠI CÔNG TY KINH DOANH VIỄN THÔNG MOBIFONE Chuyên ngành: Quản trị Kinh doanh PHAN THANH TÙNG Hà Nội-2020 BỘ GIÁO DỤC VÀ ĐÀO TẠO TRƯỜNG ĐẠI HỌC NGOẠI THƯƠNG LUẬN VĂN THẠC SĨ ĐỀ TÀI: QUẢN TRỊ RỦI RO DOANH NGHIỆP TẠI CÔNG TY KINH DOANH VIỄN THÔNG MOBIFONE Ngành: Quản trị Kinh doanh Mã số: 8340101 Họ tên học viên: Phan Thanh Tùng Người hướng dẫn: TS Nguyễn Thúy Anh Hà Nội-2020 LỜI CAM ĐOAN Tơi xin cam đoan cơng trình nghiên cứu riêng Các số liệu, kết luận văn trung thực có nguồn gốc rõ ràng, đáng tin cậy xuất phát từ tình hình thực tế đơn vị công tác Tác giả luận văn Phan Thanh Tùng MỤC LỤC DANH MỤC CÁC CHỮ VIẾT TẮT DANH MỤC CÁC HÌNH VẼ DANH MỤC CÁC BẢNG BIỂU TÓM TẮT LUẬN VĂN MỞ ĐẦU Tính cấp thiết đề tài Mục đích nghiên cứu Đối tượng phạm vi nghiên cứu Phương pháp nghiên cứu Ý nghĩa khoa học thực tiễn đề tài .9 Tổng quan nghiên cứu, tổng hợp nghiên cứu trước đề tài Kết cấu luận văn Chương 1: TỔNG QUAN VỀ RỦI RO VÀ QUẢN TRỊ RỦI RO TRONG DOANH NGHIỆP……………………………………………………………………………….10 1.1 Tổng quan Rủi ro 10 1.1.1 Khái niệm .10 1.1.2 Đặc điểm rủi ro .11 1.1.3 Phân loại rủi ro 11 1.2 Quản trị rủi ro Doanh nghiệp 16 1.2.1 Khái niệm Quản trị rủi ro Doanh nghiệp 16 1.2.2 Nội dung Quản trị rủi ro Doanh nghiệp 17 1.2.2.1 Thiết lập môi trường Quản trị rủi ro 17 1.2.2.2 Xây dựng vị rủi ro .21 1.2.2.3 Nhận diện rủi ro 22 1.2.2.4 Đo lường rủi ro .23 1.2.2.5 Kiểm soát, giám sát rủi ro 24 1.2.2.6 Báo cáo rủi ro 26 1.2.2.7 Công bố thông tin rủi ro 27 1.2.3 1.3 Một số công cụ quản trị rủi ro 27 1.2.3.1 Tự đánh giá rủi ro (RCSA) 27 1.2.3.2 Quản lý kiện, cố, tác động thu thập liệu tổn thất (LDC)27 1.2.3.3 Các số rủi ro (KRIs) .28 1.2.3.4 Phân tích kịch 29 Quản trị rủi ro doanh nghiệp viễn thông 29 1.3.1 Giới thiệu ngành viễn thông 29 1.3.2 Các loại rủi ro phổ biến doanh nghiệp viễn thông 34 1.3.2.1 Rủi ro chủ quan 34 1.3.2.2 Rủi ro khách quan 35 1.3.2.3 Rủi ro chiến lược 35 1.3.2.4 Rủi ro công nghệ 35 1.3.2.5 Rủi ro tài .37 1.3.2.6 Rủi ro hoạt động 37 CHƯƠNG 2: THỰC TRẠNG QUẢN TRỊ RỦI RO TẠI TỔNG CÔNG TY VIỄN THÔNG MOBIFONE 40 2.1 Giới thiệu công ty 40 2.1.1 Lịch sử hình thành 40 2.1.2 Cơ cấu tổ chức .40 2.1.3 Các sản phẩm kinh doanh 43 2.1.4 Kết kinh doanh .43 2.2 Quản trị rủi ro Tổng công ty viễn thông MobiFone 45 2.2.1 Xây dựng môi trường quản trị rủi ro 45 2.2.2 Nhận diện rủi ro 48 2.2.3 Đo lường mức độ ảnh hưởng rủi ro 50 2.2.4 Kiểm soát rủi ro 52 2.2.5 Giám sát rủi ro .60 2.2.6 Báo cáo rủi ro .60 2.2.7 Công bố thông tin rủi ro .61 2.3 Các công cụ quản trị rủi ro mà Tổng công ty viễn thông MobiFone áp dụng 61 2.3.1 Tự đánh giá rủi ro (RCSA) 61 2.3.2 Quản lý kiện, cố, tác động thu thập liệu tổn thất (LDC) 63 2.3.3 Các số rủi ro (KRIs) 68 2.3.4 Phân tích kịch .74 2.4 Đánh giá công tác quản trị rủi ro hoạt động Tổng công ty viễn thông MobiFone 75 2.4.1 Ưu điểm 75 2.4.2 Nhược điểm 76 CHƯƠNG 378 GIẢI PHÁP NHẰM HOÀN THIỆN QUẢN TRỊ RỦI RO TẠI TỔNG CÔNG TY VIỄN THÔNG MOBIFONE 78 3.1 Xây dựng hệ thống Quản trị rủi ro doanh nghiệp .78 3.2 Giải pháp tổ chức .80 3.3 Giải pháp an ninh mạng 82 KẾT LUẬN 87 DANH MỤC CÁC CHỮ VIẾT TẮT Từ viết tắt HĐQT DVKT KHCN ĐHKT VHKT CNTT RRHĐ HTKSNB MTCL Bằng Tiếng Anh Hội đồng quản trị Phòng Dịch vụ kỹ thuật Phòng khách hàng cá nhân Điều hành khai thác vận hành khai thác Công nghệ thông tin Rủi ro hoạt động Hệ thống kiểm soát nội Mục tiêu chất lượng NMS KPI KQI NOC SOC RCSA LDC KRI Operation and Maintenance Center Network management system Key Performance Indicator Key Quality Indicator Network Operation Center Security Operation Center Risk Control Self Assessment Lost Data collection Key Risk Indicator FO Front office BO CR Ticket Back Office Change request Ticket OMC Bằng Tiếng Việt Hệ thống quản lý vận hành mạng Hệ thống quản lý mạng Chỉ số đánh giá hiệu Chỉ số đánh giá cảm nhận người dùng Trung tâm Quản lý, điều hành mạng Trung tâm an tồn thơng tin Tự đánh giá rủi ro thu thập liệu tổn thất Các số rủi ro Chức danh giám sát mạng lưới online 24/7 Chức danh giám sát mạng lưới lớp Văn đăng ký tác động mạng lưới Văn đăng ký tác động mạng lưới DANH MỤC CÁC HÌNH VẼ Hình 1: Các loại rủi ro 12 Hình 2: Mơ hình khung quản trị rủi ro theo thông lệ tốt .18 Hình 3: Nguyên tắc “3 vòng bảo vệ” quản trị rủi ro 20 Hình 4: Các ứng dụng mạng 5G .37 Hình 5: Mơ hình tổ chức Quản lý điều hành mạng MobiFone 45 Hình 6: Phát nguy suy giảm chất lượng mạng 58 Hình 7: Các kiện ghi nhận .65 DANH MỤC CÁC BẢNG BIỂU Bảng 1: Đánh giá mức độ ảnh hưởng rủi ro 52 Bảng 2: hồ sơ quản lý vận hành khai thác hệ thống 55 Bảng 3: Mẫu Quản lý dự phòng, bảo dưỡng thiết bị .56 Bảng 4: Quy định thời gian xử lý cố 57 Bảng 5: Phân công công việc cho nhân viên kỹ thuật điều hành 62 Bảng 6: Báo cáo cố 63 Bảng 7: Tổng hợp cố 66 Bảng 8: Ghi nhận tác động mạng lưới .67 Bảng 9: Bảng ghi nhận vấn đề tạo 68 Bảng 10: Nhóm KPI đánh giá Quản lý kiện 70 Bảng 11: Nhóm KPI đánh giá Quản lý cố 71 Bảng 12: Nhóm KPI đánh giá Quản lý cố 72 Bảng 13: Nhóm KPI đánh giá Quản lý cố 73 Bảng 14: Nhóm KPI đánh giá chất lượng mạng lưới .74 Bảng 15: Bảng kiểm soát rủi ro .75 Bảng 16: Các cố kỹ thuật năm 2019 75 TÓM TẮT LUẬN VĂN Luận văn bao gồm chương với nội dung sau: Chương tổng quan rủi ro Quản trị rủi ro Doanh nghiệp Nội dung chương khái niệm rủi ro Quản trị rủi ro doanh nghiệp Các công việc mà doanh nghiệp cần thực để xây dựng hệ thống Quản trị rủi ro Phần cuối chương giới thiệu sơ lược ngành viễn thông loại rủi ro phổ biến mà doanh nghiệp viễn thơng thường gặp phải Chương nói thực trạng Quản trị rủi ro Tổng công ty viễn thông MobiFone Nội dung chương trước tiên giới thiệu tổng quan Tổng công ty viễn thông MobiFone bao gồm Lịch sử hình thành, cấu tổ chức, sản phẩm kinh doanh kết kinh doanh Nội dung chương dựa tảng chương để đánh giá thực trạng hệ thống Quản trị rủi ro MobiFone, công việc thực nội dung tồn Chương đưa giải pháp, kiến nghị đề xuất nhằm nâng cao Quản trị rủi ro Tổng công ty MobiFone 76 Các rủi ro kỹ thuật kiểm soát tốt ngăn chặn, phát xử lý kịp thời rủi ro xảy đơn vị, đảm bảo hiệu hoạt động kinh doanh Các cố nghiêm trọng lớn mạng lưới phát khắc phục cách hoàn toàn Các cố nhỏ báo cáo định kỳ giúp Tổng công ty nắm bắt kịp thời tình hình hoạt động có giải pháp khắc phục kịp thời Mặc dù chưa có cơng cụ để Quản lý rủi ro công cụ giám sát chất lượng dịch vụ ban hành hạn chế khắc phục phần rủi ro trình hoạt động 2.4.2 Nhược điểm Tổng công ty viễn thông MobiFone chưa xây dựng hệ thống Quản trị rủi ro doanh nghiệp rủi ro hệ thống tồn chưa nhận diện, đo lường kiểm soát Các rủi ro không hoạt động ngày mà cịn rủi ro tài chính, thương hiệu… gây ảnh hưởng lớn đến phát triển Tổng công ty Chất lượng công tác kiểm tra, giám sát: Mặc dù quy định kiểm tra định kỳ hạ tầng nhà trạm có Tuy nhiên, cơng tác thực đơn vị chưa tốt đặc điểm mạng lưới rộng lớn, khó kiểm sốt việc bảo trì, bảo dưỡng Về nhân sự: Nhân số phòng thiếu số lượng hạn chế lực quản lý, phận nhỏ cán chưa nhận thức tầm quan trọng quản lý rủi ro, dẫn đến nhiều sai sót Cơng tác nhận diện rủi ro: Chưa nhận diện rủi ro chủ quan Các đối tác doanh nghiệp viễn thơng thường nước ngồi Các cơng ty cung cấp thiết bị dịch vụ triển khai cho MobiFone thông qua bên thứ ba công ty triển khai hợp đồng Việt Nam ( SVTECH, CMC, ELCOM ) Trong đặc điểm sản phẩm viễn thông lại bao gồm phần cứng phần mềm Các sản phẩm phần cứng dễ 77 dàng kiểm sốt Tuy nhiên, sản phẩm phần mềm lại khó đo lường, định lượng thường chịu nhiều rủi ro cung cấp dịch vụ Cơng tác kiểm sốt rủi ro: Chưa phân biệt biện pháp tương ứng cho loại rủi ro Loại rủi ro phải dùng biện pháp kiểm soát nào: Biện pháp né tránh rủi ro, Biện pháp ngăn ngừa tổn thất, Biện pháp giảm thiểu tổn thất, Chuyển giao rủi ro, Đa dạng hóa rủi ro, Tài trợ rủi ro Công tác giám sát: Mặc dù quy định yêu cầu giám sát mạng luwois 24/7 Tuy nhiên, công cụ để quản lý nhân viên FO giám sát chưa có cố nhỏ vào ban đêm thường xảy gây ảnh hưởng dịch vụ 78 CHƯƠNG GIẢI PHÁP NHẰM HOÀN THIỆN QUẢN TRỊ RỦI RO TẠI TỔNG CÔNG TY VIỄN THƠNG MOBIFONE Hiện nay, Tổng cơng ty viễn thơng MobiFone chưa có xây dựng hệ thống Quản trị rủi ro doanh nghiệp chưa có quy định, sách nhằm đẩy mạnh hoạt động Thay vào đó, quy trình, quy định đảm bảo cho hoạt động kinh doanh ban hành nhằm giảm thiểu rủi ro phát sinh: - Quy trình số 900/QĐ-MOBIFONE ngày 06/06/2019 việc Ban hành Quy trình Quản lý Điều hành mạng viễn thơng Quy trình nhằm mục tiêu phân công nhiệm vụ đơn vị kỹ thuật để vận hành hệ thống mạng lưới viễn thông công nghệ thông tin - Quyết định số 806/QĐ-MOBIFONE ngày 06/06/2017 việc phân công nhiệm vụ đơn vị thuộc Trung tâm Quản lý điều hành mạng (NOC) Quyết định có nhắc tới việc thời gian thành lập phịng An tồn thơng tin trực thuộc trung tâm - Quyết định số 1999/QĐ-HĐTV ngày 09/09/2018 việc ban hành Quy chế phân phối tiền lương cho tập thể cá nhân Tổng công ty viễn thông MobiFone Dựa sách Tổng cơng ty viễn thơng MobiFone, đề xuất số giải pháp nhằm hoàn thiện công tác quản trị rủi ro MobiFone sau: 3.1 Xây dựng hệ thống Quản trị rủi ro doanh nghiệp Hiện nay, Tổng công ty viễn thông MobiFone chưa có xây dựng hệ thống Quản trị rủi ro doanh nghiệp cách tổng thể tồn Tổng cơng ty mà có quy trình, quy định, hướng dẫn nhằm giảm thiểu rủi ro khối kỹ thuật Do đó, kiến nghị xây dựng hệ thống Quản trị rủi ro hoạt động cho tất lĩnh vực: Kinh doanh, Kỹ thuật, tài chính, kế tốn Theo nội dung quản trị rủi ro trước tiên phải Xây dựng môi trường quản trị rủi ro hoạt động phù hợp Điều có nghĩa Ban lãnh đạo Tổng công ty phải chịu trách 79 nhiệm tạo văn hố tổ chức, ưu tiên cao việc quản trị rủi ro hoạt động tuân thủ nguyên tắc kiểm soát hoạt động Quản trị rủi ro hoạt động đạt hiệu cao cơng ty đó, văn hố tổ chức nhấn mạnh tiêu chuẩn hành vi đạo đức cho tầng lớp nhân viên Ngoài ra, hội đồng quản trị lãnh đạo công ty nên thiết lập văn hố tổ chức củng cố vững chắc, thơng qua công việc ngày tất nhân viên hoạt động khai thác mạng viễn thông Xây dựng khung Quản lý rủi ro hoạt động Rủi ro hoạt động loại rủi ro cần quản lý, đánh giá, xem xét định kỳ dựa khung quản lý rủi ro hoạt động Khung cần phải cung cấp định nghĩa tổng thể cho tồn cơng ty vể rủi ro hoạt động, nguyên tắc, cách nhận diện, đánh giá, giám sát, kiểm soát giảm thiểu rủi ro Xây dựng vòng bảo vệ quản trị rủi ro: Nguyên tắc “3 vòng bảo vệ” quản trị rủi ro Nguyên tắc “3 vòng bảo vệ” xây dựng nhằm hỗ trợ Hội đồng quản trị/Hội đồng thành viên Ban Tổng giám đốc/Ban Giám đốc hoạt động quản trị rủi ro kiểm sốt Trong đó, Hội đồng quản trị/Hội đồng thành viên Ban Tổng giám đốc/Ban Giám đốc đảm bảo nguyên tắc “3 vòng bảo vệ” áp dụng phù hợp với tổ chức doanh nghiệp 80 Vòng bảo vệ phát quản lý rủi ro Vòng bảo vệ gồm phận chức kinh doanh phận chức hỗ trợ (nhân sự, công nghệ thơng tin, kế tốn tài chính…) Vịng bảo vệ có trách nhiệm trì thực quy trình kiểm sốt, quy trình quản lý rủi ro Tùy vào phân cấp phân quyền doanh nghiệp, trưởng phận thuộc vịng bảo vệ có trách nhiệm xây dựng triển khai quy trình chi tiết, kiểm soát giám sát việc thực quy trình nhân viên - Vịng bảo vệ theo dõi, giám sát rủi ro Vịng bảo vệ có trách nhiệm quản lý rủi ro chung cho toàn doanh nghiệp tuân thủ; thiết lập để củng cố, xây dựng giám sát vòng bảo vệ đảm bảo vòng bảo vệ thiết kế phù hợp quy trình, biện pháp kiểm sốt hoạt động định hướng Vòng bảo vệ tham gia vào việc sửa đổi xây dựng hệ thống quản trị rủi ro, kiểm soát nội tham gia vào hỗ trợ hoạt động vòng bảo vệ - Vòng bảo vệ đảm bảo kiểm tra, kiểm tốn độc lập vịng bảo vệ Bao gồm phận thực hoạt động kiểm toán nội bộ, báo cáo trực tiếp cho Hội đồng quản trị/Hội đồng thành viên tính hiệu hoạt động quản lý kiểm soát rủi ro 3.2 Giải pháp tổ chức Đề xuất ban hành Quyết định quy định Quản trị rủi ro doanh nghiệp, hệ thống hóa thành Quy trình Sổ tay hướng dẫn để phổ biến rộng rãi Tổng công ty, tới người lao động nhằm cụ thể hóa trình tự, thủ tục, quyền nghĩa vụ đơn vị, cá nhân công tác Quản trị rủi ro doanh nghiệp, giúp tạo sở để tạo cảnh báo sớm, hạn chế đến mức thấp khả xảy rủi ro có tác động tiêu cực nắm bắt hội có liên quan đến hoạt động đặc biệt Tổng cơng ty, là: xây dựng sách kinh doanh, hoạt động lập chiến lược, kế hoạch kinh doanh, dự báo tài thuộc phạm vi trách nhiệm Tổng Giám đốc Tổng công ty; Hoạt động đầu tư quản lý dự án Quy định áp dụng Văn phòng Ban chuyên 81 môn nghiệp vụ, đơn vị trực thuộc Tổng công ty mạng lưới rộng khắp 63 tỉnh, thành phố Hiện nay, nhìn tổng thể, đội ngũ cán Tổng công ty chưa thật mạnh, độ tuổi bình quân tương đối cao; số chưa theo kịp với yêu cầu quản lý, điều hành; việc đào tạo, bồi dưỡng nguồn cán để chuẩn bị chuyển giao, thay có đơn vị chưa quan tâm mức, cịn tình trạng né tránh; quy trình, thủ tục cơng tác cán có lúc, có nơi chưa thực nghiêm túc theo quy định Những bất cập nguyên nhân dẫn đến rủi ro uy tín, lạm quyền, lộng quyền, chuyên quyền số cán lãnh đạo; tạo điều kiện cho quyền lực dễ bị lợi dụng tuyển dụng, bổ nhiệm người nhà, người thân không đảm bảo tiêu chuẩn, không đáp ứng nhu cầu quản lý, khơng quy trình, quy hoạch Nguyên nhân chỗ nhận thức, trách nhiệm số cấp ủy, đặc biệt người đứng đầu đơn vị cán công tác cán chưa thật đầy đủ, cịn mang tính cá nhân, thời vụ có tình trạng nước đến chân nhảy Việc lãnh đạo, đạo, tổ chức thực cơng tác cịn thiếu liệt, chưa thường xuyên, chưa cụ thể hóa đến đơn vị chưa có chế tài đủ mạnh để xử lý Do đó, việc tăng cường cơng tác truyền thơng cho đội ngũ cán bộ, đảng viên người lao động, nhằm nâng cao nhận thức ý nghĩa, tầm quan trọng, cần thiết việc kiểm soát quyền lực quản trị rủi ro công tác cán bộ, quản lý Tổng cơng ty; Xây dựng hồn thiện quy chế, quy định để kiểm soát quyền lực công tác cán theo nguyên tắc quyền lực phải kiểm soát chặt chẽ chế; quyền hạn phải ràng buộc trách nhiệm, quyền lực phải kiểm sốt quyền lực; Minh bạch, công khai nhu cầu, tiêu chuẩn, quy trình, thủ tục bổ nhiệm cán bộ; xác minh, xử lý kịp thời, hợp lý, công khai, không thiên vị thông tin phản ánh cán cơng tác cán bộ; Xử lý việc bố trí, tuyển dụng, bổ nhiệm người không đủ tiêu chuẩn, không quy trình, khơng xuất phát từ nhu cầu quản lý - tuyển dụng, bổ nhiệm người nhà, người thân người đứng đầu, cấp phó người đứng đầu đơn vị, vi phạm quy định Luật Phòng, chống tham nhũng, Luật Doanh 82 nghiệp, Luật Kế toán đơn vị Tổng công ty; Kiểm điểm, xử lý, làm rõ trách nhiệm người đứng đầu để cán quyền (do bổ nhiệm đề xuất bổ nhiệm) bị xử lý kỷ luật, bị truy cứu trách nhiệm hình liên quan đến chức trách, nhiệm vụ, lĩnh vực công tác giao; Quy định chặt chẽ thực đúng, nghiêm túc tiêu chuẩn, quy trình, thủ tục bổ nhiệm cán cấp, xác định rõ trách nhiệm tập thể, cá nhân, người đứng đầu công tác cán bộ; với công tác kiểm tra, giám sát, kiểm sốt, phản biện, chất vấn, giải trình, truy vấn trách nhiệm… phải thực thường xuyên, nghiêm túc, khoa học hiệu 3.3 Giải pháp an ninh mạng Thành lập Trung tâm Điều hành an ninh mạng (Security Operation Center, viết tắt: SOC) Đây phần thuộc vòng bảo vệ thứ vịng bảo vệ, quan trọng cơng ty viễn thơng Trung tâm có chun gia bảo mật giàu kinh nghiệm, sử dụng hàng loạt quy trình đánh giá, cảnh báo hệ thống giám sát tập trung nhằm xử lý toàn vấn đề an ninh Hệ thống liên tục rà soát, phân tích, báo cáo ngăn chặn mối đe dọa an ninh mạng, đồng thời ứng phó với cố xảy với máy tính, máy chủ mạng mà giám sát a) Các nguy rủi ro an ninh mạng Theo thống kê, tháng đầu năm 2019, Việt Nam đứng thứ 11 danh sách quốc gia bị công nhiều giới đứng thứ khu vực Đông Nam Á (sau Indonesia Singapore) với tổng số website bị xâm phạm 8,406 Cùng với 6,219 cố cơng mạng tính tới 31/7/2019 – báo cáo từ Trung tâm Ứng cứu khẩn cấp máy tính Việt Nam (VNCERT), Việt Nam hứng chịu đợt công mạng quy mô với tần suất cao thủ đoạn tinh vi hết Đó cơng lừa đảo (Phishing), cơng thay đổi giao diện (Deface) hay website bị nhiễm mã độc (Malware) Dù hình thức cơng trực tuyến hay ngoại tuyến cá nhân, tổ chức phải chịu thiệt hại nặng nề tài lẫn uy tín doanh nghiệp nhiều thời gian để khắc phục hậu sau công 83 Là kết hợp nhuần nhuyễn từ yếu tố cốt lõi ngành Công nghệ thông tin nói chung an tồn thơng tin nói riêng gồm: Con người – Cơng nghệ – Quy trình, SOC rào chắn cuối cùng, giải thiếu sót cịn lại thiết bị an ninh mạng sau chúng bị vượt qua dễ dàng bọn tội phạm mạng chuyên nghiệp SOC kết nối Con người – Cơng nghệ – Quy trình (Nguồn: Báo Fpt trang techinsight.com.vn) Con người: Là chuyên gia Trung tâm điều hành an ninh, phân công nhiệm vụ rõ ràng để phối hợp vận hành hệ thống Công nghệ: Là giải pháp giám sát, phân tích, phát cố, điều tra truy vết cố Quy trình: Là quy định, quy trình, sách an ninh thông tin triển khai hệ thống 84 Thiết lập trung tâm điều hành an ninh mạng cải thiện khả phát cố bảo mật thơng qua giám sát phân tích liên tục hoạt động liệu Hệ thống SOC phân tích hoạt động tồn tổ chức, mạng, điểm cuối, máy chủ sở liệu để đảm bảo phát ứng phó kịp thời cố bảo mật Nhờ vịng trịn khép kín hỗ trợ lẫn yếu tố kể trên, SOC rà sốt phản ứng với mối nguy hại tiềm ẩn 27/4, điều giúp thu hẹp khoảng cách thời gian xâm nhập thời gian phát đồng thời giúp tổ chức chủ động việc đối phó với mối đe dọa b) Chức năng, nhiệm vụ Trung tâm Điều hành an ninh mạng Để đóng góp vào an toàn chung tất thiết bị, liệu tổ chức chuyên gia SOC phải đảm bảo đầu việc sau: ✓ Chủ động giám sát trạng thái an ninh toàn hệ thống theo thời gian thực giao diện quản lí tập trung ✓ Định kì rà quét, tự động kiểm tra an ninh toàn hệ thống ✓ Quản lý nhật ký phản hồi (cung cấp cho quan chức thơng tin xác trường hợp cần đến điều tra) ✓ Phát lỗ hổng, điểm yếu hệ thống mạng đề xuất biện pháp xử lí ✓ Xếp hạng cảnh báo bất thường nút mạng thiết bị, mức độ nghiêm trọng tỉ lệ thuận với mức độ khẩn trương loại bỏ mối đe dọa ✓ Cảnh báo sớm điểm yếu, nguy an ninh xảy điều chỉnh phịng thủ ✓ Hỗ trợ ứng cứu xử lí cố an ninh mạng ✓ Quản lí, điều khiển lệnh từ xa ✓ Tự động tối đa qui trình nghiệp vụ, tối ưu nhân lực vận hành hệ thống ✓ Gửi báo cáo định kỳ (theo ngày, tuần, tháng, quí, năm) theo thời gian thực 85 Mỗi nhiệm vụ chức quan trọng SOC nhằm giữ cho toàn tổ chức bảo vệ tốt Bằng cách kết hợp tất nội dung trên, SOC trì ổn định hệ thống đưa hành động phù hợp, khôn ngoan xâm nhập xảy đến c) Xây dựng điều hành SOC Xây dựng Trung tâm điều hành an ninh mạng trình phức tạp để đảm bảo SOC vận hành trơn tru, hiệu lại toán nan giải Bước quan trọng doanh nghiệp cần thực trước thiết lập SOC hoàn chỉnh xác định chiến lược rõ ràng, đặt mục tiêu cụ thể cho tổ chức tính tốn hỗ trợ cần thiết từ nội doanh nghiệp Sau đó, phải rà sốt đánh giá hệ thống cơng nghệ thơng tin tại, xây dựng, bổ sung hệ thống bảo vệ cân thiết như: Firewall, Intrusion Detection System (IDS), Antivirus (AV), Distributed denial-of-service (DDoS),… Tiếp đến cải thiện hệ thống theo dõi – giám sát, truy vết, hệ thống phân tích xử lý phản ứng với cố Cuối đào tạo nhân xây dựng quy trình phản ứng phù hợp để liên kết tất thành phần với tạo mơ hình tổng thể đảm bảo an ninh – an toàn cho hệ thống Việc vận hành SOC thực đội ngũ chuyên gia giàu kinh nghiệm, chia làm nhiều lớp theo chức năng, nhiệm vụ mức độ nghiêm trọng cố: Level 1: Alert Analyst chuyên viên có nhiệm vụ theo dõi, giám sát cảnh báo từ hệ thống 24/7 Khi nhận cảnh báo, họ phân tích, đánh giá chuyển tới Incident Responder SME/Hunter Level 2: Incident Responder chuyên viên có nhiệm vụ tiếp nhận cảnh báo từ Alert Analyst Sau xác định phân tích kiện bảo mật, chuyên gia phân loại, xếp hạng đánh giá leo thang đặc quyền để cảnh báo mối đe dọa tiềm ẩn 86 Level 3: SME/Hunter chuyên gia có nhiều kinh nghiệm lĩnh vực an tồn thơng tin, chun mơn cao Những người trực tiếp xử lý cố an ninh, điều tra đưa điều lệnh ngăn chặn cố Level 4: Cuối SOC Manager – người toàn quyền quản lý toàn hệ thống SOC bao gồm nhân sự, ngân sách, nội dung quy trình SOC Manager tiếp nhận thơng tin báo cáo, phân tích kết khắc phục cố từ SME/Hunter SOC người phát ngơn có cố xảy với hệ thống Từ kiện SOC, doanh nghiệp, tổ chức hẳn có nhìn sâu vai trị lợi ích Trung tâm điều hành an ninh mạng, với đơn vị thiếu sót kiến thức bảo mật, thiếu hụt nhân có kinh nghiệm, hệ thống cơng nghệ thơng tin sơ sài chưa có quy trình xử lý, ứng phó cố hiệu việc tự xây dựng vân hành SOC ước mơ xa vời Đó lý VSOC (Virtual Security Operations Centers) – Trung tâm điều hành an ninh mạng ảo đời 87 KẾT LUẬN Rủi ro tiềm ẩn hoạt động cơng ty viễn thơng Việc quản trị rủi ro địi hỏi quy trình nghiêm ngặt phải thực thường xuyên để giảm thiểu rủi ro cho công ty viễn thông Quản trị rủi ro khái niệm với ngành viễn thơng Việt Nam, mà việc triển khai quản trị rủi ro chưa thực cách bản, chưa quan tâm mực Trên sở nội dung quản trị rủi ro, nghiên cứu thực trạng quản trị rủi ro Tổng công ty viễn thông MobiFone, đánh giá thực trạng từ thấy nhiều hạn chế để đưa giải pháp để góp phần nhỏ hồn thiện công tác quản trị rủi ro nhằm giảm thiểu rủi ro Một số nội dung mà luận văn thực sau: Một xây dựng lý thuyết rủi ro Quản trị rủi ro Doanh nghiệp, bao gồm khái niệm rủi ro Quản trị rủi ro doanh nghiệp Các công việc mà doanh nghiệp cần thực để xây dựng hệ thống Quản trị rủi ro xây dựng môi trường, nhận diện, đo lường, giám sát, báo cáo công bố thông tin rủi ro Để thực công việc Quản trị rủi ro Doanh nghiệp cần có cơng cụ chính: Cơng cụ tự đánh giá rủi ro; Cơng cụ Quản lý kiện, cố, tác động thu thập thông tin; công cụ đo lường số rủi ro (KRIs), cơng cụ phân tích kịch Luận văn tìm hiểu nêu lên loại rủi ro phổ biến mà doanh nghiệp viễn thông thường gặp phải để từ hạn chế khắc phục Hai nêu lên thực trạng Quản trị rủi ro Tổng công ty viễn thông MobiFone Nội dung giới thiệu tổng quan Tổng công ty viễn thơng MobiFone bao gồm Lịch sử hình thành, cấu tổ chức, sản phẩm kinh doanh kết kinh doanh Dựa tảng lý thuyết để đánh giá thực trạng hệ thống Quản trị rủi ro MobiFone, công việc thực nội dung cịn tồn để từ rút 88 ưu điểm nhược điểm cần khắc phục công tác Quản trị rủi ro Tổng công ty viễn thông MobiFone Ba đưa giải pháp, kiến nghị đề xuất nhằm nâng cao Quản trị rủi ro Tổng công ty MobiFone Quản trị rủi ro đề tài rộng phức tạp, cần hoàn thiện thường xuyên lý luận thực tiễn Do kiến thức thời gian nghiên cứu hạn chế nên chắn không tránh khỏi khiếm khuyết, thông tin liệu thu thập chưa toàn diện nên đề tài chưa hoàn thiện Tuy nhiên với cách tiếp cận này, tơi hi vọng đóng góp phần vào nâng cao vai trị , nhận thức tầm quan trọng công tác quản trị rủi ro Tơi mong nhận đóng góp thầy cô, nhà nghiên cứu, bạn bè quan tâm đến vấn đề để đề tài hoàn thiện áp dụng vào thực tiễn 89 DANH MỤC TÀI LIỆU THAM KHẢO Tiếng việt: Tổng công ty viễn thông MobiFone, Quy trình số 904/QĐ-MOBIFONE ngày 06/06/2019 việc Ban hành Quy trình Quản lý Điều hành mạng viễn thơng Tổng cơng ty viễn thơng MobiFone, Quy trình số 343/QĐ-MOBIFONE ngày 27/02/2020 Quyết định Ban hành mục tiêu chất lượng mạng năm 2020 Tổng công ty viễn thông MobiFone, Quy trình số 34/MOBIFONE – DVKT&KHCN việc Quy định triển khai bán hàng sản phẩm MobiHome Tổng cơng ty viễn thơng MobiFone, Quy trình Quản lý kiện Tổng cơng ty viễn thơng MobiFone, Quy trình quản lý cố Tổng công ty viễn thông MobiFone, Quy trình quản lý vấn đề Tổng cơng ty viễn thơng MobiFone, Quy trình quản lý thay đổi Lại Thị Duyên, Quản trị rủi ro hoạt động Ngân hàng TMCP Công Thương VN - Chi nhánh Cẩm Phả”, Luận văn thạc sỹ, Đại học Ngoại thương, năm 2018 http://tapchitaichinh.vn/tai-chinh-kinh-doanh/mot-so-van-de-ve-quan-tri-rui-rotrong-doanh-nghiep-309646.html 10 https://baodautu.vn/chien-truong-moi-cua-doanh-nghiep-vien-thongd114360.html 11 http://doanhnghieptrunguong.vn/giai-bua-liem-vang/201910/vnpt-xay-dung-hethong-quan-tri-rui-ro-de-phat-trien-ben-vung-5655700/ 12 https://techinsight.com.vn/vai-tro-loi-ich-cua-trung-tam-dieu-hanh-an-ninhmang-soc-phan-1/ 13 https://petrovietnam.petrotimes.vn/mo-hinh-quan-tri-rui-ro-doanh-nghiep-theothong-le-quoc-te-504774.html Tiếng anh: Institute of Operational Risk Operational Risk Sound Practice Guidance, Risk Control Self Assessment, Marth 2010 90 PHỤ LỤC: BẢNG Ý NGHĨA CÁC KPI MẠNG LƯỚI Tên KPI CSSR _2G CDR_2G DKD_2G CS_CSSR_3G PASR_3G CS_CDR PADR_3G DKD_3G CSSR3G_BH PASR3G_BH INIT ERAB SR ERAB DR CSFB SR DKD4G Ý nghĩa KPI Tỷ lệ thiết lập gọi 2G thành công Tỷ lệ rớt gọi 2G Độ khả dụng mạng 2G Tỷ lệ thiết lập gọi 3G thành công Tỷ lệ thiết lập Data 3G thành công Tỷ lệ rớt gọi 3G Tỷ lệ rớt phiên data 3G Độ khả dụng mạng 3G Tỷ lệ thiết lập gọi 3G thành công bận Tỷ lệ thiết lập Data 3G thành công bận Tỷ lệ thiết lập Data 4G thành công Tỷ lệ rớt phiên data 4G Tỷ lệ chuyển giao 4G 3G thành công Độ khả dụng mạng 4G ... .11 1.1.3 Phân loại rủi ro 11 1.2 Quản trị rủi ro Doanh nghiệp 16 1.2.1 Khái niệm Quản trị rủi ro Doanh nghiệp 16 1.2.2 Nội dung Quản trị rủi ro Doanh nghiệp 17 1.2.2.1... niệm rủi ro Quản trị rủi ro doanh nghiệp Các công việc mà doanh nghiệp cần thực để xây dựng hệ thống Quản trị rủi ro Phần cuối chương giới thiệu sơ lược ngành viễn thông loại rủi ro phổ biến mà doanh. .. luận rủi ro Quản trị rủi ro hoạt động doanh nghiệp Đánh giá nguyên nhân phát sinh rủi ro hoạt động công việc cần phải làm cho hệ thống Quản trị rủi ro hoạt động Tổng công ty viễn thông MobiFone