LỜI CẢM ƠN. 1
MỤC LỤC . 2
DANH MỤC CÁC KÝ HIỆU VÀ CHỮ VIẾT TẮT. 4
DANH MỤC CÁC HÌNH VẼ, ĐỒ THỊ. 5
MỞ ĐẦU . 6
CHƯƠNG 1. KHUNG QUẢN LÝ DỮ LIỆU. 9
1.1. Khái niệm chung về quản lý dữ liệu. 9
1.1.1. Định nghĩa thông tin và dữ liệu . 9
1.1.2. Quản lý dữ liệu . 10
1.1.3. Quản trị dữ liệu. 11
1.1.4. Phân biệt quản lý và quản trị dữ liệu . 12
1.1.5. Lợi ích và tầm quan trọng của quản lý dữ liệu . 13
1.1.6. Nguyên tắc quản lý dữ liệu. 14
1.1.7. Các lĩnh vực trọng tâm chính cần được đề cập trong quản lý dữ liệu15
1.1.8. Các bước cơ bản để thực hiện quản lý dữ liệu. 16
1.2. Khung quản lý dữ liệu . 18
1.3. Khung quản lý dữ liệu viễn thông cho TCT mạng lưới VIettel. 22
CHƯƠNG 2. QUẢN LÝ ATTT TRONG DOANH NGHIỆP . 27
2.1. ĐỊNH NGHĨA AN TOÀN THÔNG TIN. 27
2.2. CÁC PHƯƠNG PHÁP QUẢN LÝ AN TOÀN THÔNG TIN. 27
2.2.1 Tiêu chuẩn quản lý an toàn thông tin ISO27001:2013. 27
2.2.2 Phương pháp tiếp cận . 28
2.2.3 Phương pháp quản lý rủi ro. 228
2.3. KHUNG QUẢN LÝ AN TOÀN THÔNG TIN . 32
CHƯƠNG 3. GIẢI PHÁP NÂNG CAO NĂNG LỰC QUẢN LÝ AN TOÀN
THÔNG TIN DỮ LIỆU VIỄN THÔNG . 37
3.1 Phương pháp quản lý rủi ro . 37
Nguyên lý quản lý rủi ro cho tổ chức. 38
Mô hình tổ chức và phương pháp quản lý rủi ro. 39
Quy trình quản lý rủi ro. 41
93 trang |
Chia sẻ: honganh20 | Ngày: 15/03/2022 | Lượt xem: 580 | Lượt tải: 3
Bạn đang xem trước 20 trang tài liệu Luận văn Nghiên cứu xây dựng khung quản trị dữ liệu cho việc quản lý dữ liệu của tổng công ty mạng lưới viettel, để xem tài liệu hoàn chỉnh bạn click vào nút DOWNLOAD ở trên
các quy trình trong hệ thống ISMS.
Mô hình dưới giải thích cách hệ thống ISMS lấy đầu vào là các yêu cầu và kỳ
vọng về bảo mật thông tin của các bên thứ ba, sau khi tiến hành các quy trình xử
lý cần thiết sẽ đáp ứng an ninh thông tin theo như các yêu cầu và kỳ vọng đặt ra.
Hình 2.2 chỉ ra các liên hệ giữa các quy trình được biểu diễn trong các điều khoản
của ISO27001:2013 [4], [5], [6].
Hình 2.2 Mô hình PDCA
Quá trình lập kế hoạch (thiết lập hệ thống ISMS) là quá trình thiết lập chính sách,
mục tiêu, các quá trình và quy trình liên quan tới việc quản lý rủi ro và cải tiến
an ninh thông tin nhằm đem lại các kết quả phù hợp với chính sách và mục tiêu
chung của tổ chức. Sau khi có kế hoạch thì cần triển khai thực hiện hệ thống theo
kế hoạch đã hoạch định ra. Triển khai và vận hành các chính sách ISMS, các
biện pháp thực hiện kiểm soát, các quá trình và quy trình của hệ thống ISMS.
Xác định hiệu quả việc thực hiện quy trình dựa trên chính sách, các mục tiêu của
ISMS; báo cáo lại kết quả cho việc xem xét của lãnh đạo. Cuối cùng là tiến hành
các hành động khắc phục và phòng ngừa dựa trên kết quả của việc đánh giá nội
30
bộ và xem xét của lãnh đạo về hệ thống ISMS hoặc dựa trên các thông tin liên
quan Khi vận dụng mô hình PDCA vào việc triển khai tiêu chuẩn
ISO27001:2013 vào tổ chức cần thực hiện các công việc chi tiết gì được mô tả
chi tiết trong hình 2.3. Mô hình PDCA ISO27001.
Hình 2.3. Mô hình PDCA ISO27001
Ngay ở giai đoạn “Lập kế hoạch” đầu tiên cần triển khai thực hiện khảo sát, đo
lường để đánh giá hiệu quả các giải pháp an toàn thông tin hiện tại tổ chức đang
thực hiện. Các giải pháp hiện tại đã đủ để đảm bảo an toàn thông tin cho tổ chức
chưa, có điểm mạnh điểm yếu như thế nào. Ở bước này sẽ giúp ta nhìn thấy bức
tranh hiện tại về hệ thống quản lý an toàn thông tin doanh nghiệp. Tổ chức khi
khảo sát thực trạng an toàn thông tin cho các hệ thống công nghệ thông tin, viễn
thông của doanh nghiệp cần xây dựng danh sách các câu hỏi, kịch bản khảo sát
đầy đủ. Trong phạm vi luận văn đã nghiên cứu xây dựng danh sách câu hỏi khảo
sát đánh giá an toàn thông tin cho tổ chức chi tiết theo Phụ lục 02. Checklist khảo
sát đánh giá rủi ro cho dữ liệu viễn thông. Sau khi khảo sát, chúng ta cần cập nhật
lại cơ sở dữ liệu tài sản của tổ chức. Mục đích hệ thống an toàn thông tin là để
kiểm soát an toàn cho tài sản, tài sản ở đây hiểu là tài sản thông tin, vật lý, phần
mềm hay thương hiệu của doanh nghiệp. Do đó việc cập nhật thường xuyên đầy
đủ danh mục tài sản của tổ chức là rất cần thiết. Từ danh mục tài sản, ta tiếp tục
thực hiện đánh giá rủi ro. Để đánh giá rủi ro đầy đủ cho tài sản này luận văn đã
nghiên cứu đưa ra danh mục ánh xạ giữa các điểm yếu và đe doạ chi tiết theo Phụ
31
lục 01. Danh sách các điểm yếu, đe doạ dùng để phân tích rủi ro an toàn cho dữ
liệu viễn thông.
Ở giai đoạn “Thực hiện” các công việc chính cần thực hiện bao gồm đào tạo An
toàn thông tin, xây dựng hệ thống tài liệu quy định, quy trình nội bộ đơn vị liên
quan ATTT, tích hợp các yêu cầu ATTT trong hệ thống tài liệu hiện tại của tổ
chức. Và thực hiện triển khai các giải pháp kiểm soát an toàn tổ chức còn chưa
thực hiện hoặc thực hiện chưa tốt sau kết quả đánh giá khảo sát ở giai đoạn “Lập
kế hoạch”.
Giai đoạn thứ ba “Kiểm tra” các giải pháp sau khi được thực hiện, ta cần thực
hiện đo lường, đánh giá hiệu quả các giải pháp đã thực hiện triển khai. Đánh giá
việc tuân thủ của các đơn vị khi áp dụng các giải pháp này để báo cáo kết quả tới
lãnh đạo xem xét và ra quyết định cho hướng cải tiến tiếp theo.
Và giai đoạn cuối “Hành động” thực hiện các hành động cải tiến các giải pháp,
cách thức đã thực hiện trong giai đoạn trước để mang lại hiệu quả ngày càng tốt
hơn nữa.
2.2.3 Phương pháp quản lý rủi ro
Phương pháp quản lý rủi ro chính là “sợi chỉ đỏ” xuyên suốt trong quá trình xây
dựng, triển khai, giám sát hệ thống quản lý an toàn thông tin.
Quản lý rủi ro bao gồm ba hoạt động chính: xác định rủi ro, đánh giá rủi ro và
kiểm soát rủi ro. Ban đầu, tổ chức phải xác định, đánh giá nhận diện ra rủi ro hiện
tại của tổ chức mình là gì. Để đánh giá, nhận diện được rủi ro một cách đầy đủ
nhất thì tổ chức cần cập nhật đầy đủ cơ sở dữ liệu các tài sản của mình đang quản
lý, đặc biệt là tài sản thông tin cùng với các đặc điểm, nơi lưu trữ, mức độ quan
trọng và giá trị, đặc thù của tài sản. Sau khi rủi ro được nhận diện thì tổ chức cần
thực hiện đánh giá, đo lường, xác định rủi ro ở mức độ ưu tiên như thế nào dựa
trên mức độ ảnh hưởng của rủi ro nếu xảy ra và khả năng hay tần xuất rủi ro đó
có thể xảy ra trên thực tế dựa trên các yếu tố bên ngoài, dữ liệu trong lịch sử để
đánh giá xác nhận. Việc quyết định rủi ro có những hành động xử lý như thế nào
cho phù hợp sẽ được cân nhắc dựa trên chi phí phải bỏ ra để xử lý rủi ro và mức
độ ảnh hưởng nếu rủi ro xảy ra cho tổ chức ở mức độ nào. Để từ đó tổ chức có kế
hoạch xử lý rủi ro cho phù hợp nhất với đặc điểm tình hình của đơn vị mình.
Sau khi có kế hoạch xử lý rủi ro, kế hoạch đó phải tiếp tục được giám sát kết quả
thực hiện để đảm bảo việc thực hiện đúng tiến độ và triển khai biện pháp kiểm
soát phù hợp và hiệu quả [16], [17], [18].
32
Trong quá trình xử lý rủi ro, tổ chức cần xác định mức độ chấp nhận rủi ro (Risk
Appetite) là mức độ rủi ro mà tổ chức sẵn sàng chấp nhận. Mục tiêu của việc xử
lý rủi ro là đảm bảo tất cả các rủi ro sau khi xử lý sẽ đạt về mức rủi ro có thể chấp
nhận được. Còn sau khi áp dụng các biện pháp kiểm soát nhằm giảm rủi ro, đánh
giá lại vẫn còn rủi ro dư (Residual Risk) là lượng rủi ro tồn động đối với tài sản
thông tin ngay cả khi tổ chức đã áp dụng mức kiểm soát mong muốn thì tổ chức
cần tiếp tục kiểm soát, áp dụng bổ sung biện pháp kiểm soát khác nếu cần để rủi
ro về mức độ chấp nhận được [6].
Mô hình nhận diện rủi ro cho tổ chức thông thường hay được áp dụng gồm các
giai đoạn chính sau: trước tiên tổ chức cần lên kế hoạch và quy trình với các bước
phù hợp để nhận diện ra rủi ro, tiếp theo là nhậ diện, lên danh mục và phân loại
tài sản. Sau khi có đầy đủ danh mục tài sản của tổ chức, phân nhóm tài sản phù
hợp theo đặc thù (thông thường được chia thành các nhóm tài sản thông tin, tài
sản vật lý, tài sản phần mềm, tài sản dịch vụ, hình ảnh) thì tổ chức cần tính giá trị
để phân loại mức độ quan trọng, mức độ ưu tiên, đánh giá các điểm yếu của tài
sản đó và các đe doạ bên ngoài có khả năng tấn công khai thác gây ra ảnh hưởng
đến tài sản của tổ chức [18], [20].
Khi áp dụng mô hình quản lý rủi ro này cho hoạt động quản lý rủi ro an toàn
thông tin cho các tài sản của tổ chức sẽ giúp ta có một bức tranh đầy đủ về các
rủi ro ATTT mà tổ chức có khả năng gặp phải, đánh giá sắp xếp mức độ ưu tiên
và xây dựng hệ thống các biện pháp kiểm soát một cách đầy đủ, bài bản để giảm
thiểu rủi ro.
Chi tiết các biện pháp kiểm soát có khả năng áp dụng nhằm giảm thiểu rủi ro
ATTT được trình bày chi tiết trong mục 2.3. Khung quản lý an toàn thông tin.
2.3. KHUNG QUẢN LÝ AN TOÀN THÔNG TIN
Tiêu chuẩn và các yêu cầu về an toàn thông tin được nói rất nhiều trong các tiêu
chuẩn quản lý khác nhau như ISO27001, NIST, GDPR v.v. Tuy nhiên theo kinh
nghiệm của bản thân và qua quá trình khảo sát tại đơn vị thì để triển khai hệ thống
quản lý an toàn thông tin hiệu quả cần có sự phối hợp chặt chẽ giữa ba yếu tố là
Quy trình, Công cụ và Con người. Ba yếu tố song hành kết hợp lại mới có được
hệ thống quản lý tốt. Ví như nếu xây dựng hệ thống Quy trình có chuẩn, tốt đến
đâu đi nữa nhưng không có hệ thống công cụ hỗ trợ để việc áp dụng được nhanh
chóng hoặc con người không nhận thức được tầm quan trọng của việc áp dụng
các quy trình vào hoạt động hàng ngày trong công việc của mình thì hệ thống
33
quản lý cũng không bao giờ tốt được. Do đó xây dựng quy trình xong và để quy
trình đi vào cuộc sống cần chú ý xây dựng công cụ quản lý và chú trọng công tác
đào tạo, truyền thông nâng cao nhận thức cho cán bộ nhân viên.
Sau khảo sát trên cả ba phương diện quy trình, công cụ và con người tại tổng công
ty mạng lưới cộng với nhận biết được các giải pháp tổng công ty đã thực hiện thì
đánh giá khung quản lý an toàn thông tin theo tiêu chuẩn quản lý ISO27001 là
phù hợp, hiệu quả nhất cho đơn vị hiện tại.
Khung quản lý an toàn thông tin được mô tả chi tiết trong hình 2.4. Các lĩnh vực
chính trong quản lý ATTT [4], [5], [6], [7].
Hình 2.4 Các lĩnh vực chính trong quản lý ATTT
Để có hệ thống quản lý ATTT toàn diện tổ chức cần thực hiện đầy đủ các vấn đề
về quản lý chính sách ATTT, quản lý an ninh tổ chức, quản lý an ninh nguồn lực
con người, quản lý tài sản, kiểm soát nguồn lực, quản lý mã hoá, quản lý bảo mật
môi trường vật lý, quản lý bảo mật vận hành, quản lý bảo mật truyền thông, Quản
lý nhà cung ứng và quản lý xây dựng, phát triển duy trì hệ thống [5], [6].
Việc xây dựng chính sách an toàn thông tin là cung cấp định hướng và hỗ trợ của
lãnh đạo đối với hệ thống bảo mật thông tin phù hợp với những yêu cầu kinh
doanh, luật pháp và chế định liên quan. Chính sách ATTT sau khi xây dựng cần
được truyền thông đào tạo đầy đủ trong nội bộ cũng như cho các đối tác làm việc
với đơn vị hiểu và nắm được nguyên tắc chung về ATTT với tổ chức. Và chính
34
sách này cần được định kỳ xem xét cập nhật nội dung, thay đổi phù hợp với thực
tế tổ chức nếu cần.
Quản lý an ninh trong tổ chức là việc quản lý bảo mật thông tin của tổ chức và
những phương tiện xử lý thông tin cần được tiếp cận, quy trình, thông tin hoặc
được điều hành trong nội bộ và với các tổ chức bên ngoài. Trong nội bộ đơn vị
cần có phân công vai trò trách nhiệm đơn vị rõ ràng liên quan như thế nào tới việc
quản lý an toàn thông tin.
Quản lý bảo mật vấn đề nhân sự để đảm bảo rằng tất cả các nhân viên, người cung
cấp nhân lực và người dùng của bên thứ ba hiểu được trách nhiệm của họ, và phù
hợp với những vai trò họ thể hiện, và để giảm thiểu rủi ro về thất thoát, gian lận
hoặc lạm dụng thiết bị của công. Tổ chức đưa ra các giải pháp, các chương trình
đào tạo nhằm đảm bảo rằng tất cả các nhân viên, người cung cấp nhân lực và
những người dùng của bên thứ ba nhận biết được các mối đe doạ và vấn đề liên
quan về bảo mật thông tin, trách nhiệm và nghĩa vụ của họ, và được trang bị để
hỗ trợ chính sách bảo mật thông tin của tổ chức trong phạm vi công việc bình
thường của họ, và để giảm thiểu các rủi ro về lỗi con người. Nhân viên, người
cung cấp nhân lực và người dùng bên thứ ba rời khỏi tổ chức hoặc thay đổi vị trí
tuân thủ những quy định về bàn giao đầy đủ tài sản, quyền truy cập và cam kết
bảo mật thông tin cho tổ chức kể cả khi đã nghỉ hoặc thôi không làm việc với đơn
vị.
Tổ chức cần thực hiện quản lý, phân loại, kiểm kê tài sản định kỳ để duy trì những
sự bảo mật cần thiết đối với tài sản của tổ chức và đảm bảo rằng rất cả các tài sản
đều có các biện pháp bảo mật an toàn phù hợp. Các tài sản đánh giá phân loại các
mức độ quan trọng khác nhau sẽ được ưu tiên các biện pháp kiểm soát khác nhau,
ưu tiên và phù hợp theo mức độ quan trọng của tài sản đó.
Khi đơn vị thực hiện các biện pháp quản lý truy cập tức là triển khai các biện
pháp quản lý truy cập cả về mặt logic và vật lý. Kiểm soát truy cập lôgic cho các
quyền truy cập trên hệ thống, kiểm soát nhóm quyền ưu tiên có đặc quyền cao thì
cần phải đảm bảo có đầy đủ biện pháp xác nhận bảo vệ phù hợp.
Một trong những biện pháp kiểm soát ATTT quan trọng không thể thiếu hiện nay
là quản lý mã hóa. Mã hoá thông tin khi lưu trữ, vận chuyển nhằm bảo vệ an toàn
dữ liệu không bị sử dụng, xâm phạm bởi người không được phép. Sử dụng mã
hóa để bảo vệ thông tin nhạy cảm được truyền bởi các thiết bị, phương tiện di
động hoặc phương tiện có thể di dời, hoặc qua các đường truyền thông.
35
Các biện pháp quản lý an toàn môi trường, vật lý là các biện pháp liên quan tới
kiểm soát an ninh, an toàn về vành đai vật lý ngăn chặn những sự thâm nhập trái
phép làm tổn hại về mặt vật lý trái phép trong tổ chức. Tổ chức cần triển khai các
cách kiểm soát ra vào, các vòng an ninh bảo vệ, cửa an ninh, thẻ từ, camera giám
sát v.v. Để ngăn ngừa những sự mất mát, tổn hại đến tài sản và làm gián đoạn
những hoạt động của tổ chức.
Các hoạt động quản lý an toàn vận hành nhằm giảm thiểu rủi ro về những lỗi hệ
thống. Nhằm ngăn ngừa những sự lộ tin, sự vi phạm, sửa đổi, di dời hoặc phá huỷ
không được phép của tài sản và sự làm gián đoạn các hoạt động kinh doanh.
Nhằm phát hiện ra những hành động xử lý thông tin không được phép. Cần xây
dựng quy trình quản lý sự cố an toàn bảo mật để bảo đảm những sự kiện bảo mật
thông tin và những điểm yếu liên quan đến hệ thống thông tin được truyền đạt để
có thể có những hành động khắc phục hợp lý và đúng lúc. Bên cạnh đó quản lý
tính liền mạch kinh doanh để tối thiểu thời gian gián đoạn trong những hoạt động
kinh doanh để bảo vệ những hoạt động kinh doanh quan trọng không bị ảnh hưởng
gián đoạn bởi các sự cố lớn hoặc thảm hoạ từ hệ thống thông tin và để đảm bảo
sự hoạt động lại kịp thời.
Quản lý an toàn truyền thông là các biện pháp kiểm soát để đảm bảo các hệ thống
cần được quản lý và kiểm soát để bảo vệ thông tin trong các hệ thống và ứng
dụng. Các thông tin được thông báo ra ngoài sẽ được xem xét phê duyệt theo quy
trình kiểm soát cụ thể để đảm bảo các thông tin được cung cấp đúng đến các đối
tượng một cách phù hợp.
Các biện pháp để quản lý yêu cầu, phát triển và duy trì hệ thống thông tin để bảo
đảm rằng bảo mật là một phần không thể thiếu trong hệ thống thông tin. Các giải
pháp về ATTT được đưa ra, chú trọng ngay từ khi xây dựng hệ thống. Để ngăn
ngừa lỗi, mất mát, thay đổi và lạm dụng trái phép các thông tin ứng dụng. Bảo vệ
sự bảo mật, sự xác thực, hay toàn vẹn của thông tin bởi những mật mã. Hạn chế
rủi ro xuất phát từ việc lợi dụng những điểm yếu kỹ thuật.
Bên cạnh đó, tổ chức cần đặc biệt lưu ý tới các vấn đề về quản lý mối quan hệ
nhà cung ứng để đảm bảo việc bảo vệ tài sản của tổ chức có thể bị truy cập bởi
các nhà cung cấp bên ngoài hay không. Tổ chức cần xác định và đưa ra chính
sách kiểm soát an toàn thông tin đối với các nhà cung cấp đặc thù có quyền truy
cập đến thông tin của tổ chức. Những kiểm soát này cần đề cập tới các quy trình
và thủ tục cần được thực hiện bởi tổ chức, cũng như những quy trình và thủ tục
mà tổ chức cần yêu cầu các nhà cung cấp thực hiện.
36
Từ khung các lĩnh vực chính mà đơn vị cần thực hiện kiểm soát một cách đầy đủ
khi xây dựng hệ thống quản lý ANTT như hình 2.4. Em đã thực hiện khảo sát
đánh giá hoạt đông quản lý ANTT theo các đầy đủ các yêu cầu trên chi tiết theo
checklist đã được xây dựng theo Phụ lục 02. Checklist khảo sát đánh giá rủi ro
cho dữ liệu viễn thông. Qua đó thấy được điểm mạnh, điểm yếu của tổ chức hiện
tại, các biện pháp kiểm soát đã và đang làm tốt sẽ tiếp tục duy trì. Các biện pháp
còn thiếu chưa triển khai hoặc triển khai chưa đầy đủ thì cần được triển khai bổ
sung và tăng cường. Do vậy dựa vào kết quả đánh giá khảo sát tại Tổng công ty
mạng lưới, em xin được đề xuất ba giải pháp chính triển khai cho Tổng công tý
về Quản lý rủi ro an toàn thông tin đây là phương pháp xuyên suốt giúp cho tổ
chức sớm nhận ra các điểm rủi ro về ATTT mình ở đâu từ đó sẽ có lựa chọn biện
pháp kiểm soát ATTT. Từ việc sớm đánh giá nhìn nhận ra rủi ro sẽ giúp tổ chức
chủ động có biện pháp phù hợp giảm thiểu rủi ro xảy ra. Tuy nhiên phương pháp
này chưa được thực hiện triển khai cho nội bộ tổng công ty mà chỉ khi xảy ra rủi
ro mới thực hiện hành động xử lý sự cố, vấn đề. Nghiên cứu xây dựng phương
pháp luận, công cụ, mô hình tổ chức để thực hiện việc quản lý rủi ro ATTT cho
đơn vị.
Rủi ro được hiểu là sự không chắc chắn và là khả năng xảy ra kết qur không mong
muốn. Trong các khả năng xảy ra có ít nhất một khả năng là kết quả không mong
muốn có thể đem lại tổn thất hay thiệt hại cho đơn vị.4 Quản lý rủi ro an toàn
thông tin là quản lý các khả năng xảy ra kết quả không mong muốn liên quan tới
ATTT.
Nhóm biện pháp thứ hai cần đẩy mạnh triển khai và công tác ATTT cho hoạt
động công tác vận hành. Xây dựng bộ quy trình, công cụ trong công tác quản lý
vận hành đảm bảo bảo mật, tin cậy và sẵn sàng.
Nhóm biện pháp thứ ba nhằm tăng cường tính sẵn sàng, liên tục của hệ thống
giảm thời gian gián đoạn khi xảy ra sự cố hoặc tình huống bất lợi không mong
muốn xảy ra.
Chi tiết việc xây dựng giải pháp triển khai cho ba biện pháp trên được trình bày
cụ thể trong chương ba.
4 https://www.praxiom.com/iso-27000-definitions.htm#Risk
37
CHƯƠNG 3. GIẢI PHÁP NÂNG CAO NĂNG LỰC QUẢN LÝ AN TOÀN
THÔNG TIN DỮ LIỆU VIỄN THÔNG
Như đã phân tích ở chương hai, để triển khai việc quản trị ATTT dữ liệu, tổ chức
xây dựng hệ thống quản trị ATTT, mô hình lựa chọn là phù hợp với đặc thù đơn
vị là dựa trên tiêu chuẩn quản lý hệ thống An toàn thông tin theo tiêu chuẩn ISO
27001:2013.
Tiêu chuẩn này đã được chuẩn bị nhằm cung cấp một mô hình để thiết lập, thực
hiện, vận hành, theo dõi, xem xét, duy trì và cải tiến hệ thống quản lý an toàn bảo
mật thông tin (ISMS). Việc chấp nhận ISMS phải là quyết định mang tính chiến
lược của một tổ chức. Việc thiết kế và thực hiện ISMS của tổ chức chịu ảnh hưởng
bới các cần thiết và các mục tiêu, các yêu cầu an toàn bảo mật, các quá trình
tuyển dụng và qui mô và cấu trúc của tổ chức. Các yếu tố này cùng với các hệ
thống hỗ trợ của chúng có thể xảy ra thay đổi theo thời gian.
Tiêu chuẩn này sử dụng cách tiếp cận theo quá trình để thiết lập, thực hiện, vận
hành, theo dõi, xem xét, duy trì và cải tiến ISMS của một tổ chức. Tổ chức cần
nhận biết và quản lý nhiều hoạt động nhằm thực hiện chức năng một cách hiệu
quả. Bất kỳ hoạt động nào sử dụng các nguồn lực và được quản lý nhằm biến các
đầu vào thành các đầu ra được coi như một quá trình. Thông thường các đầu ra
của một quá trình hình thành đầu vào trực tiếp cho quá trình tiếp theo. Việc áp
dụng một hệ thống các quá trình của một tổ chức, đồng thời với việc nhận biết và
tương tác giữa các quá trình đó, và việc quản lý chúng được xem như một cách
tiếp cận theo quá trình.
Tiêu chuẩn này có thể áp dụng cho tất cả các loại hình tổ chức (như các doanh
nghiệp, các cơ quan chính phủ, tổ chức phi lợi nhuận). Tiêu chuẩn này chỉ định
rõ các yêu cầu để thiết lập, thực hiện, vận hành, theo dõi, xem xét, duy trì và cải
tiến ISMS dạng văn bản trong bối cảnh toàn bộ các rủi ro trong công việc của tổ
chức. Nó chỉ định rõ các yêu cầu thực hiện các kiểm soát an toàn bảo mật tuỳ
biến cho các cần thiết của từng tổ chức hay các bộ phận riêng rẽ.
ISMS được thiết kế nhằm đảm bảo rằng sự lựa chọn các kiểm soát an toàn bảo
mật thích hợp và tương xứng nhằm bảo vệ các tài sản thông tin và đưa bằng chứng
tin cậy cho các bên quan tâm.
3.1 PHƯƠNG PHÁP QUẢN LÝ RỦI RO
Để xây dựng và triển khai phương pháp quản lý rủi ro cho tổ chức cần triển khai
áp dụng quản lý rủi ro trên cả ba yếu tố quy trình, công cụ và con người.
38
Trong luận văn này em đã nghiên cứu xây dựng phương pháp luận cho việc quản
lý đánh giá và xử lý rủi ro, các nguyên tắc khi thực hiện quản lý rủi ro. Khảo sát
mô hình hoạt động đơn vị để xây dựng mô hình tổ chức với các đơn vị phòng ban
chức năng phù hợp với tổ chức để đi vào vận hành hệ thống quản lý rủi ro. Tiếp
đó thực hiện triển khai phương pháp, mô hình quản lý rủi ro vào thực tế để tiếp
tục xây dựng công cụ quản lý các rủi ro sau khi đánh giá báo cáo rủi ro phát hiện
ra.
Trước tiên cần xác định cách thức đánh giá rủi ro của tổ chức: Nhận biết phương
pháp đánh giá rủi ro phù hợp với ISMS, và các yêu cầu đã xác định về an toàn
bảo mật thông tin kinh doanh, qui chế, luật định. Xây dựng các tiêu chí chấp nhận
rủi ro và nhận biết các mức rủi ro có thể chấp nhận được.5
Nguyên lý quản lý rủi ro cho tổ chức
Xây dựng nguyên tắc về việc quản lý rủi ro cho TCT như sau: Công tác QLRR
phải đảm bảo tạo ra và bảo vệ giá trị, duy trì, phát triển kinh doanh bền vững
trong dài hạn đối với hoạt động của tổ chức theo các nguyên tắc quản trị sau:
Quản trị rủi ro phải nằm trong chiến lược chung của tổ chức, gắn liên với các hoạt
động chủ chốt, đi cùng với các hoạt động để tạo ra giá trị phát triển. Tổ chức cần
xây dựng nguyên tắc về việc chấp nhận rủi ro cho các hoạt động của mình đó
chính là cácrủi ro được phép trong phạm vi khẩu vị rủi ro đã được xác định. Để
biết được rủi ro nào là chấp nhận được trong khẩu vị chấp nhận được thì các rủi
ro khi phát hiện ra sẽ được đánh giá, đo lường mức độ nghiêm trọng của rủi ro.
Việc quyết định các rủi ro được xử lý như thế nào sẽ được đánh giá tính toán dựa
trên chi phí tổ chức cần bỏ ra để xử lý rủi ro và ảnh hưởng rủi ro đó đem đến nếu
xảy ra. Đảm bảo nguyên tắc hài hòa giữa mức độ rủi ro và lợi nhuận. Tuân thủ và
đảm bảo tính độc lập về chức năng giữa ba tuyến phòng thủ, kiểm soát rủi ro.
Tuân thủ nguyên tắc phân tán rủi ro (phi tập trung, tránh, chuyển giao, giảm thiểu
rủi ro).Tính tới mối tương quan giữa các rủi ro, tức rủi ro này có liên quan đến
rủi ro khác. Quy trình quản trị rủi ro phải được duy trì liên tục để phản ứng kịp
thời với thay đổi của môi trường kinh doanh. Rủi ro được chấp nhận phải có
nguồn được bù đắp đầy đủ. Bảo đảm nguyên tắc kiểm soát rủi ro thận trọng trọng
việc triển khai sản phẩm mới. Hệ thống văn bản quản lý QLRR gồm các cấp văn
bản.
5 International Organization for Standardization. Risk management – Guideline ISO/IEC 31000:2018
39
Hình 3.1 Tháp quản lý rủi ro của tổ chức viễn thông
Trên cùng là các nguyên tắc về quản trị rủi ro, cơ cấu mô hình tổ chức cho việc
vận hành hệ thống quản lý rủi ro. Dưới đó là khung khẩu vị rủi ro, xác định mục
tiêu, nguyên tắc chiến lược, nguyên tắc quản lý rủi ro, chỉ số khẩu vị rủi ro của tổ
chức. Tiếp theo tầng ba của tháp quản lý rủi ro là xây dựng bộ quy trình về quản
lý rủi ro, các bước để nhận biết rủi ro, đo lường và đánh giá rủi ro, xử lý, kiểm
soát để giảm thiểu rủi ro xảy ra và các hoạt động báo cáo định kỳ về công tác
quản lý rủi ro. Sau khi triển khai áp dụng đánh giá rủi ro thì ta sẽ có danh sách
các rủi ro của đơn vị, danh sách rủi ro liên tục được cập nhật thường xuyên theo
định kỳ khi có thay đổi trạng thái, kết quả về việc xử lý rủi ro, các rủi ro mới phát
sinh. Qua đó để xây dựng mô trường có văn hoá quản lý rủi ro trong mọi hoạt
động. Mọi người khi thực hiện cần có đánh giá để lường trước khả năng rủi ro có
thể xảy ra để có hành động khắc phục, phòng ngừa [2].
Mô hình tổ chức và phương pháp quản lý rủi ro
Để áp dụng được tháp quản lý rủi ro theo hình 3.1 một cách hiệu quả thì ta cần
xây dựng mô hình tổ chức có phân công trách nhiệm rõ ràng liên quan đến công
tác quản lý rủi ro. Trong luận văn này, sau khi đánh giá hoạt động của đơn vị, em
đánh giá được cần thiết phải xây dựng áp dụng mô hình ba tuyến phòng thủ rủi
ro như một số hệ thống quản lý rủi ro đã áp dụng cho ngân hàng. Nhưng tại TCT
mạng lưới thì cần tích cực phát huy tối đa và rất mạnh công tác quản lý đánh giá
40
rủi ro tại lớp một là chính tại các đơn vị phòng ban chức năng. Vì hơn ai hết họ
chính là người nắm rõ nhất các hệ thống mình đang làm chủ quản vận hành. Việc
đánh giá rủi ro ở tuyến này sẽ luôn là nhanh nhất, kịp thời, chính xác nhất. Và
cùng góp phần đẩy mạnh văn hoá quản lý rủi ro trong tổng công ty.
TẬP ĐOÀN
BAN TỔNG GIÁM ĐỐC
BP QTRR
Tuyến Kiểm soát thứ 1 Tuyến KS thứ 2 Tuyến KS thứ 3
CÁC ĐƠN VỊ PHÒNG
BAN CHỨC NĂNG
TRONG TỔ CHỨC
BAN THANH TRA&KS
ĐƠN VỊ KIỂM TOÁN
ĐỘC LẬP
TCT
Hình 3.2 Mô hình kiểm soát rủi ro dữ liệu viễn thông 3 lớp
Tuyến kiểm soát thứ nhất
Các bộ phận kinh doanh, phát triển sản phẩm, các bộ phận: Gồm bộ phận Chiến
lược, Khách hàng và Marketing, Phát triển và quản lý sản phẩm, Công nghệ thông
tin, Điều hành kinh doanh, Kinh doanh thị trường nước ngoài, Chăm sóc khách
hàng, Kiểm soát chất lượng, đơn vị vận hành khai thác hệ thống. Hàng ngày tiếp
cận với nghiệp vụ của mình, với các am hiểu sâu sắc về chuyên môn, sản phẩm
nên tuyến này sẽ là tuyến hiệu quả, tích cực cần đẩy mạnh trong công tác quản lý
rủi ro.
Tuyến kiểm soát thứ hai
Xây dựng chính sách, hệ thống và công cụ QLRR phù hợp với quy định của pháp
luật, thông lệ quốc tế và thực tiễn kinh doanh.
Triển khai giám sát QLRR: Xây dựng khung quản trị rủi ro, các chính sách, quy
định, quy trình cho công tác quản lý rủi ro trong tổ chức. Triển khai công tác
QLRR bao gồm nhận diện, đo lường, theo dõi, kiểm soát và báo cáo rủi ro. Xây
dựng khẩu vị rủi ro (KVRR), hạng mục rủi ro (HMRR), chỉ số đo lường rủi ro
chính KRI đối với hoạt động và định kỳ rà soát theo quy định; độc lập hoặc phối
hợp với tuyến kiểm soát thứ nhất để theo dõi chỉ tiêu rủi ro nhằm cảnh báo, nhận
41
biết sớm nguy cơ vi phạm; Độc lập và chủ động phối hợp với các đơn vị giám
sát, đánh giá việc thực thi các chín
Các file đính kèm theo tài liệu này:
- luan_van_nghien_cuu_xay_dung_khung_quan_tri_du_lieu_cho_viec.pdf