Quản lý rủi ro cho tốn phủ điện tử BỘ GIÁO DỤC VÀ ĐÀO TẠO TRƯỜNG ĐẠI HỌC BÁCH KHOA HÀ NỘI - TRẦN THỊ HỒNG THÚY QUẢN LÝ RỦI RO CHO BÀI TỐN CHÍNH PHỦ ĐIỆN TỦ Chun ngành: Công nghệ thông tin LUẬN VĂN THẠC SỸ KỸ THUẬT NGÀNH: CÔNG NGHỆ THÔNG TIN NGƯỜI HƯỚNG DẪN KHOA HỌC: TS Vũ Thị Hương Giang Hà Nội - 2013 Trần Thị Hồng Thúy - Lớp cao học CNTTHV 10-12- ĐH Bách Khoa Hà Nội Quản lý rủi ro cho tốn phủ điện tử LỜI CAM ĐOAN Tôi - Trần Thị Hồng Thúy - học viên lớp Cao học 10B CNTT- HV Trường Đại học Bách Khoa Hà Nội - cam kết Luận văn tốt nghiệp cơng trình nghiên cứu thân tơi hướng dẫn TS Vũ Thị Hương Giang, Viện CNTT-TT, Trường Đại học Bách Khoa Hà Nội Các kết nêu Luận văn tốt nghiệp trung thực, không chép tồn văn cơng trình khác Hà Nội, ngày 20 tháng 05 năm 2013 Học viên: Trần Thị Hồng Thúy Lớp : Cao Học 10BCNTTHV 10-12 Trần Thị Hồng Thúy - Lớp cao học CNTTHV 10-12- ĐH Bách Khoa Hà Nội Quản lý rủi ro cho tốn phủ điện tử LỜI CẢM ƠN Tơi xin bày tỏ lịng biết ơn sâu sắc tới cô giáo, TS Vũ Thị Hương Giang, viện Công nghệ Thông tin Truyền thông, trường Đại học Bách khoa Hà Nội, khuyến khích tận tình hướng dẫn tơi suốt q trình thực luận văn Nhờ quan tâm bảo ý kiến đóng góp q báu cơ, tơi hồn thành luận văn Tơi xin chân thành cảm ơn tập thể thầy cô giáo trường Đại học Bách Khoa Hà Nội nói chung Viện Cơng nghệ thơng tin Truyền thơng nói chung tận tình giảng dạy truyền đạt cho kiến thức, kinh nghiệm quý báu suốt năm học vừa qua Tôi xin cảm ơn đồng nghiệp trường Đại học Hùng Vương tạo điều kiện thời gian để tơi học tập hồn thành luận văn Cuối cùng, tơi xin chân thành cảm ơn gia đình, người thân hết lòng giúp đỡ hỗ trợ vật chất lẫn tinh thần giúp yên tâm học tập nghiên cứu suốt trình học tập thực luận văn Trần Thị Hồng Thúy - Lớp cao học CNTTHV 10-12- ĐH Bách Khoa Hà Nội Quản lý rủi ro cho tốn phủ điện tử MỤC LỤC LỜI CAM ĐOAN LỜI CẢM ƠN MỤC LỤC DANH MỤC CÁC CHỮ VIẾT TẮT DANH MỤC CÁC BẢNG DANH MỤC CÁC HÌNH VẼ MỞ ĐẦU Tính cấp thiết đề tài Mục đích nghiên cứu Nhiệm vụ nghiên cứu Phương pháp nghiên cứu 10 Phạm vi nghiên cứu 10 Cấu trúc luận văn 10 CHƯƠNG I: TỔNG QUAN 11 1.1 Bài tốn quản lý cơng văn 11 1.1.1 Định nghĩa 11 a Công văn ( Official Document) 11 b Quản lý công văn (Official Document management) 12 1.1.2 Mô hình quản lý cơng văn 12 a Quản lý công văn thủ công: .12 b Hệ thống quản lý trao đổi công văn .16 1.1.3 Một số công cụ quản lý trao đổi công văn phổ biến 22 1.2 Các rủi ro an tồn thơng tin mà hệ thống quản lý trao đổi cơng văn gặp phải .27 Kết chương 29 CHƯƠNG II: ĐỀ XUẤT QUY TRÌNH QUẢN LÝ RỦI RO CHO HỆ THỐNG QUẢN LÝ VÀ TRAO ĐỔI CÔNG VĂN THEO CHUẨN ISO/IEC 27005 30 2.1 Định hướng giải pháp .30 2.1.1 Quy trình quản lý rủi ro theo chuẩn ISO/IEC 27005 30 2.1.2 Đề xuất áp dụng chuẩn ISO/IEC 27005 vào toán quản lý rủi ro cho hệ thống quản lý trao đổi công văn 32 2.2 Thiết lập ngữ cảnh (Context establishment) .33 2.2.1 Thiết lập ngữ cảnh hệ thống 33 2.2.2.Thiết lập ngữ cảnh chuẩn tài liệu 33 2.2.3 Thiết lập ngữ cảnh cho tiêu chí đánh giá rủi ro 34 2.2.4 Thiết lập ngữ cảnh cho tiêu chí tác động rủi ro 34 2.2.5 Thiết lập ngữ cảnh cho tiêu chí chấp nhận rủi ro 34 2.3 Đánh giá rủi ro an toàn cho hệ thống quản lý trao đổi công văn 35 2.3.1 Nhận dạng rủi ro 35 2.3.2 Ước lượng rủi ro 38 2.3.3 Định giá rủi ro 43 2.4 Xử lý rủi ro cho hệ thống Quản lý trao đổi công văn 47 Trần Thị Hồng Thúy - Lớp cao học CNTTHV 10-12- ĐH Bách Khoa Hà Nội Quản lý rủi ro cho tốn phủ điện tử 2.4.1 Xử lý rủi ro theo tiêu chí mức độ quan trọng rủi ro 49 2.4.2 Xử lý rủi ro theo tiêu chí yêu cầu pháp lý .54 2.4.3 Xử lý rủi ro theo tiêu chí khả hậu xảy rủi ro 55 2.4.4 Xử lý rủi ro theo tiêu chí chi phí 58 2.5 Chấp nhận rủi ro hệ thống Quản lý công văn .61 2.5.1 Chấp nhận rủi ro theo tiêu chí mức độ quan trọng rủi ro 63 2.5.2 Chấp nhận rủi ro theo tiêu chí khả hậu xảy rủi ro 69 2.5.3 Chấp nhận rủi ro theo tiêu chí chi phí 73 2.5.4 Chấp nhận rủi ro theo tiêu chí yêu cầu pháp lý 78 2.6 Truyền đạt rủi ro hệ thống Quản lý công văn 78 2.7 Theo dõi xem lại rủi ro 79 2.7.1.Theo dõi xem lại nhân tố rủi ro 79 2.7.2 Theo dõi, xem lại cải tiến quản lý rủi ro 79 Kết chương 81 CHƯƠNG III: THỬ NGHIỆM QUY TRÌNH QUẢN LÝ RỦI RO THEO CHUẨN ISO/IEC 27005 CHO HỆ THỐNG QUẢN LÝ CÔNG VĂN CỦA TRƯỜNG HÙNG VƯƠNG 82 3.1 Mô tả hệ thống 82 3.2 Các kịch rủi ro 87 Kết chương 88 KẾT LUẬN 90 Các nội dung hoàn thành luận văn .90 Các đóng góp khoa học .90 Hướng phát triển luận văn 90 TÀI LIỆU THAM KHẢO .91 TÓM TẮT LUẬN VĂN 92 THESIS SUMARY 93 Trần Thị Hồng Thúy - Lớp cao học CNTTHV 10-12- ĐH Bách Khoa Hà Nội Quản lý rủi ro cho tốn phủ điện tử DANH MỤC CÁC CHỮ VIẾT TẮT STT 10 Từ viết tắt VB CV VT LĐ TPCM CSDL HSCV CNTT NA A Giải nghĩa Văn Chuyên viên Văn thư Lãnh đạo Trưởng phịng chun mơn Cơ sở liệu Hồ sơ công việc Công nghệ thông tin None Accept- Không chấp nhận Accept - Chấp nhận Trần Thị Hồng Thúy - Lớp cao học CNTTHV 10-12- ĐH Bách Khoa Hà Nội Quản lý rủi ro cho toán phủ điện tử DANH MỤC CÁC BẢNG Bảng 1: Các chức hệ thống quản lý trao đổi công văn 20 Bảng 2.1 : Những rủi ro phát sinh từ người dùng 36 Bảng 2.2 : Những rủi ro phát sinh từ yếu tố bên 36 Bảng 2.3: Những rủi ro quy trình nhận cơng văn đến 37 Bảng 2.4: Những rủi ro quy trình chuyển công văn 37 Bảng 2.5 : Rủi ro liên quan tới phần cứng phần mềm 37 Bảng 2.6 : Rủi ro liên quan tới bảo mật hệ thống 38 Bảng 2.7:Ước lượng định lượng cho rủi ro liên quan đến người dùng hệ thống39 Bảng 2.8 : Ước lượng định tính cho rủi ro liên quan đến người dùng hệ thống 39 Bảng 2.9 : Hậu khả xảy rủi ro liên quan đến người dùng hệ thống .39 Bảng 2.10: Ước lượng định lượng rủi ro yếu tố bên ngồi hệ thống 40 Bảng 2.11: Ước lượng định tính rủi ro yếu tố bên hệ thống .40 Bảng 2.12: Đánh giá hậu khả xảy rủi ro yếu tố bên hệ thống .40 Bảng 2.13: Ước lượng định lượng rủi ro quy trình nghiệp vụ hệ thống 41 Bảng 2.14 : Ước lượng định tính rủi ro quy trình nghiệp vụ hệ thống 41 Bảng 2.15: Đánh giá hậu khả xảy rủi ro quy trình nghiệp vụ hệ thống 41 Bảng 2.16 : Ước lượng định lượng rủi ro hệ thống phần cứng phần mềm 42 Bảng 2.17: Ước lượng định tính rủi ro hệ thống phần cứng phần mềm 42 Bảng 2.18 : Đánh giá hậu khả xảy rủi ro hệ thống phần cứng phần mềm 42 Bảng 2.19: Ước lượng định tính rủi ro liên quan đến q trình bảo mật hệ thống 43 Bảng 2.20 : Đánh giá hậu khả xảy rủi ro liên quan đến trình bảo mật hệ thống 43 Bảng 2.21: Rủi ro kịch dẫn tới rủi ro 45 Bảng 2.22: Danh sách rủi ro theo tiêu chí mức độ quan trọng rủi ro .46 Bảng 2.23: Danh sách rủi ro theo tiêu chí yêu cầu pháp lý 46 Bảng 2.24: Danh sách rủi ro theo tiêu chí khả hậu xảy rủi ro .46 Bảng 2.25: Danh sách rủi ro theo tiêu chí chi phí chấp nhận rủi ro 47 Bảng 2.26: Chấp nhận rủi ro theo tiêu chí mức độ quan trọng rủi ro 68 Bảng 2.27: Chấp nhận rủi ro theo tiêu chí khả hậu xảy rủi ro 72 Bảng 2.28: Chấp nhận rủi ro theo tiêu chí chi phí 77 Bảng 2.29 Chấp nhận rủi ro theo tiêu chí yêu cầu pháp lý 78 Trần Thị Hồng Thúy - Lớp cao học CNTTHV 10-12- ĐH Bách Khoa Hà Nội Quản lý rủi ro cho tốn phủ điện tử DANH MỤC CÁC HÌNH VẼ Hình 1.1 Lưu đồ quy trình tổ chức quản lý công văn đến Error! Bookmark not defined Hình 1.2 Lưu đồ quy trình tổ chức quản lý công văn Error! Bookmark not defined Hình 3: Các module hệ thống quản lý cơng văn Error! Bookmark not defined Hình 4: Quy trình văn hệ thống quản lý trao đổi cơng văn Error! Bookmark not defined Hình 2.1 Quy trình quản lý rủi ro theo chuẩn ISO/IEC 27005 Error! Bookmark not defined Hình 3.1 Form đăng nhập hệ thống .Error! Bookmark not defined Hình 3.2 Form chức quản lý văn Error! Bookmark not defined Hình 3.3 Form chức quản lý email Error! Bookmark not defined Hình 3.4 Form chức quản trị hệ thống Error! Bookmark not defined Hình 3.5 Form chức lịch cơng tác Error! Bookmark not defined Trần Thị Hồng Thúy - Lớp cao học CNTTHV 10-12- ĐH Bách Khoa Hà Nội Quản lý rủi ro cho tốn phủ điện tử Trần Thị Hồng Thúy - Lớp cao học CNTTHV 10-12- ĐH Bách Khoa Hà Nội Quản lý rủi ro cho tốn phủ điện tử MỞ ĐẦU Tính cấp thiết đề tài Chính phủ điện tử (e-government) việc ứng dụng công nghệ thông tin công nghệ truyền thông (ICT- Information and Communications Technology) để nâng cao hiệu hoạt động chức dịch vụ phủ Ngày nay, việc ứng dụng CNTT quan nhà nước phát triển nhanh chóng bước cải thiện, hướng tới việc xây dựng phủ điện tử tồn diện hiệu Bài tốn quản lí cơng văn tốn thuộc Chính phủ điện tử cần giải quyết, tốn ứng dụng ICT việc quản lí văn đến Chính phủ, từ quan, Sở, ban ngành Nhà nước phần lớn doanh nghiệp Tuy nhiên, cho dù quản lí cơng văn thủ cơng hay ứng dụng CNTT q trình quản lí khơng tránh khỏi rủi ro Rủi ro điều không mong muốn xảy quy trình hệ thống quản lý công văn làm ảnh hưởng không tốt đến hoạt động quan, tổ chức,…Vì vậy, quản lý rủi ro vấn đề quan trọng nên việc đẩy mạnh quản lý rủi ro đường hiệu để đảm bảo an tồn cho hệ thống Chính phủ Điện tử nói chung hệ thống quản lí cơng văn nói riêng Mục đích nghiên cứu Mục đích luận văn dựa chuẩn quản lý rủi ro an tồn hệ thống thơng tin, xây dựng đánh giá rủi ro cho hệ thống quản lý trao đổi cơng văn Nhiệm vụ nghiên cứu Tìm hiểu hệ thống quản lý trao đổi cơng văn vai trị Chính phủ điện tử Tìm hiểu xác định rủi ro cho hệ thống quản lý trao đổi công văn Tìm hiểu chuẩn quản lý rủi ro có khả áp dụng hệ thống quản lý trao đổi cơng văn Đề xuất quy trình áp dụng quản lý rủi ro tính an tồn cho hệ thống quản lý trao đổi công văn Trần Thị Hồng Thúy - Lớp cao học CNTTHV 10-12- ĐH Bách Khoa Hà Nội 10 ... Khoa Hà Nội Quản lý rủi ro cho tốn phủ điện tử 2.4.1 Xử lý rủi ro theo tiêu chí mức độ quan trọng rủi ro 49 2.4.2 Xử lý rủi ro theo tiêu chí yêu cầu pháp lý .54 2.4.3 Xử lý rủi ro theo tiêu... áp dụng chuẩn quản lý rủi ro an tồn thơng tin ISO/IEC 27005 để quản lý rủi ro cho hệ thống quản lý trao đổi công văn Quản lý rủi ro theo chuẩn ISO/IEC 27005 quy trình quản lý rủi ro an tồn thơng... cải tiến quản lý rủi ro Trần Thị Hồng Thúy - Lớp cao học CNTTHV 10-12- ĐH Bách Khoa Hà Nội 80 Quản lý rủi ro cho tốn phủ điện tử Đầu vào: Tất thông tin rủi ro lấy từ hoạt động quản lý rủi ro Hành