Luận văn Nghiên cứu xây dựng khung quản trị dữ liệu cho việc quản lý dữ liệu của tổng công ty mạng lưới viettel

các quy trình trong hệ thống ISMS. Mô hình dưới giải thích cách hệ thống ISMS lấy đầu vào là các yêu cầu và kỳ vọng về bảo mật thông tin của các bên thứ ba, sau khi tiến hành các quy trình xử lý cần thiết sẽ đáp ứng an ninh thông tin theo như các yêu cầu và kỳ vọng đặt ra. Hình 2.2 chỉ ra các liên hệ giữa các quy trình được biểu diễn trong các điều khoản của ISO27001:2013 [4], [5], [6]. Hình 2.2 Mô hình PDCA Quá trình lập kế hoạch (thiết lập hệ thống ISMS) là quá trình thiết lập chính sách, mục tiêu, các quá trình và quy trình liên quan tới việc quản lý rủi ro và cải tiến an ninh thông tin nhằm đem lại các kết quả phù hợp với chính sách và mục tiêu chung của tổ chức. Sau khi có kế hoạch thì cần triển khai thực hiện hệ thống theo kế hoạch đã hoạch định ra. Triển khai và vận hành các chính sách ISMS, các biện pháp thực hiện kiểm soát, các quá trình và quy trình của hệ thống ISMS. Xác định hiệu quả việc thực hiện quy trình dựa trên chính sách, các mục tiêu của ISMS; báo cáo lại kết quả cho việc xem xét của lãnh đạo. Cuối cùng là tiến hành các hành động khắc phục và phòng ngừa dựa trên kết quả của việc đánh giá nội 30 bộ và xem xét của lãnh đạo về hệ thống ISMS hoặc dựa trên các thông tin liên quan Khi vận dụng mô hình PDCA vào việc triển khai tiêu chuẩn ISO27001:2013 vào tổ chức cần thực hiện các công việc chi tiết gì được mô tả chi tiết trong hình 2.3. Mô hình PDCA ISO27001. Hình 2.3. Mô hình PDCA ISO27001 Ngay ở giai đoạn “Lập kế hoạch” đầu tiên cần triển khai thực hiện khảo sát, đo lường để đánh giá hiệu quả các giải pháp an toàn thông tin hiện tại tổ chức đang thực hiện. Các giải pháp hiện tại đã đủ để đảm bảo an toàn thông tin cho tổ chức chưa, có điểm mạnh điểm yếu như thế nào. Ở bước này sẽ giúp ta nhìn thấy bức tranh hiện tại về hệ thống quản lý an toàn thông tin doanh nghiệp. Tổ chức khi khảo sát thực trạng an toàn thông tin cho các hệ thống công nghệ thông tin, viễn thông của doanh nghiệp cần xây dựng danh sách các câu hỏi, kịch bản khảo sát đầy đủ. Trong phạm vi luận văn đã nghiên cứu xây dựng danh sách câu hỏi khảo sát đánh giá an toàn thông tin cho tổ chức chi tiết theo Phụ lục 02. Checklist khảo sát đánh giá rủi ro cho dữ liệu viễn thông. Sau khi khảo sát, chúng ta cần cập nhật lại cơ sở dữ liệu tài sản của tổ chức. Mục đích hệ thống an toàn thông tin là để kiểm soát an toàn cho tài sản, tài sản ở đây hiểu là tài sản thông tin, vật lý, phần mềm hay thương hiệu của doanh nghiệp. Do đó việc cập nhật thường xuyên đầy đủ danh mục tài sản của tổ chức là rất cần thiết. Từ danh mục tài sản, ta tiếp tục thực hiện đánh giá rủi ro. Để đánh giá rủi ro đầy đủ cho tài sản này luận văn đã nghiên cứu đưa ra danh mục ánh xạ giữa các điểm yếu và đe doạ chi tiết theo Phụ 31 lục 01. Danh sách các điểm yếu, đe doạ dùng để phân tích rủi ro an toàn cho dữ liệu viễn thông. Ở giai đoạn “Thực hiện” các công việc chính cần thực hiện bao gồm đào tạo An toàn thông tin, xây dựng hệ thống tài liệu quy định, quy trình nội bộ đơn vị liên quan ATTT, tích hợp các yêu cầu ATTT trong hệ thống tài liệu hiện tại của tổ chức. Và thực hiện triển khai các giải pháp kiểm soát an toàn tổ chức còn chưa thực hiện hoặc thực hiện chưa tốt sau kết quả đánh giá khảo sát ở giai đoạn “Lập kế hoạch”. Giai đoạn thứ ba “Kiểm tra” các giải pháp sau khi được thực hiện, ta cần thực hiện đo lường, đánh giá hiệu quả các giải pháp đã thực hiện triển khai. Đánh giá việc tuân thủ của các đơn vị khi áp dụng các giải pháp này để báo cáo kết quả tới lãnh đạo xem xét và ra quyết định cho hướng cải tiến tiếp theo. Và giai đoạn cuối “Hành động” thực hiện các hành động cải tiến các giải pháp, cách thức đã thực hiện trong giai đoạn trước để mang lại hiệu quả ngày càng tốt hơn nữa. 2.2.3 Phương pháp quản lý rủi ro Phương pháp quản lý rủi ro chính là “sợi chỉ đỏ” xuyên suốt trong quá trình xây dựng, triển khai, giám sát hệ thống quản lý an toàn thông tin. Quản lý rủi ro bao gồm ba hoạt động chính: xác định rủi ro, đánh giá rủi ro và kiểm soát rủi ro. Ban đầu, tổ chức phải xác định, đánh giá nhận diện ra rủi ro hiện tại của tổ chức mình là gì. Để đánh giá, nhận diện được rủi ro một cách đầy đủ nhất thì tổ chức cần cập nhật đầy đủ cơ sở dữ liệu các tài sản của mình đang quản lý, đặc biệt là tài sản thông tin cùng với các đặc điểm, nơi lưu trữ, mức độ quan trọng và giá trị, đặc thù của tài sản. Sau khi rủi ro được nhận diện thì tổ chức cần thực hiện đánh giá, đo lường, xác định rủi ro ở mức độ ưu tiên như thế nào dựa trên mức độ ảnh hưởng của rủi ro nếu xảy ra và khả năng hay tần xuất rủi ro đó có thể xảy ra trên thực tế dựa trên các yếu tố bên ngoài, dữ liệu trong lịch sử để đánh giá xác nhận. Việc quyết định rủi ro có những hành động xử lý như thế nào cho phù hợp sẽ được cân nhắc dựa trên chi phí phải bỏ ra để xử lý rủi ro và mức độ ảnh hưởng nếu rủi ro xảy ra cho tổ chức ở mức độ nào. Để từ đó tổ chức có kế hoạch xử lý rủi ro cho phù hợp nhất với đặc điểm tình hình của đơn vị mình. Sau khi có kế hoạch xử lý rủi ro, kế hoạch đó phải tiếp tục được giám sát kết quả thực hiện để đảm bảo việc thực hiện đúng tiến độ và triển khai biện pháp kiểm soát phù hợp và hiệu quả [16], [17], [18]. 32 Trong quá trình xử lý rủi ro, tổ chức cần xác định mức độ chấp nhận rủi ro (Risk Appetite) là mức độ rủi ro mà tổ chức sẵn sàng chấp nhận. Mục tiêu của việc xử lý rủi ro là đảm bảo tất cả các rủi ro sau khi xử lý sẽ đạt về mức rủi ro có thể chấp nhận được. Còn sau khi áp dụng các biện pháp kiểm soát nhằm giảm rủi ro, đánh giá lại vẫn còn rủi ro dư (Residual Risk) là lượng rủi ro tồn động đối với tài sản thông tin ngay cả khi tổ chức đã áp dụng mức kiểm soát mong muốn thì tổ chức cần tiếp tục kiểm soát, áp dụng bổ sung biện pháp kiểm soát khác nếu cần để rủi ro về mức độ chấp nhận được [6]. Mô hình nhận diện rủi ro cho tổ chức thông thường hay được áp dụng gồm các giai đoạn chính sau: trước tiên tổ chức cần lên kế hoạch và quy trình với các bước phù hợp để nhận diện ra rủi ro, tiếp theo là nhậ diện, lên danh mục và phân loại tài sản. Sau khi có đầy đủ danh mục tài sản của tổ chức, phân nhóm tài sản phù hợp theo đặc thù (thông thường được chia thành các nhóm tài sản thông tin, tài sản vật lý, tài sản phần mềm, tài sản dịch vụ, hình ảnh) thì tổ chức cần tính giá trị để phân loại mức độ quan trọng, mức độ ưu tiên, đánh giá các điểm yếu của tài sản đó và các đe doạ bên ngoài có khả năng tấn công khai thác gây ra ảnh hưởng đến tài sản của tổ chức [18], [20]. Khi áp dụng mô hình quản lý rủi ro này cho hoạt động quản lý rủi ro an toàn thông tin cho các tài sản của tổ chức sẽ giúp ta có một bức tranh đầy đủ về các rủi ro ATTT mà tổ chức có khả năng gặp phải, đánh giá sắp xếp mức độ ưu tiên và xây dựng hệ thống các biện pháp kiểm soát một cách đầy đủ, bài bản để giảm thiểu rủi ro. Chi tiết các biện pháp kiểm soát có khả năng áp dụng nhằm giảm thiểu rủi ro ATTT được trình bày chi tiết trong mục 2.3. Khung quản lý an toàn thông tin. 2.3. KHUNG QUẢN LÝ AN TOÀN THÔNG TIN Tiêu chuẩn và các yêu cầu về an toàn thông tin được nói rất nhiều trong các tiêu chuẩn quản lý khác nhau như ISO27001, NIST, GDPR v.v. Tuy nhiên theo kinh nghiệm của bản thân và qua quá trình khảo sát tại đơn vị thì để triển khai hệ thống quản lý an toàn thông tin hiệu quả cần có sự phối hợp chặt chẽ giữa ba yếu tố là Quy trình, Công cụ và Con người. Ba yếu tố song hành kết hợp lại mới có được hệ thống quản lý tốt. Ví như nếu xây dựng hệ thống Quy trình có chuẩn, tốt đến đâu đi nữa nhưng không có hệ thống công cụ hỗ trợ để việc áp dụng được nhanh chóng hoặc con người không nhận thức được tầm quan trọng của việc áp dụng các quy trình vào hoạt động hàng ngày trong công việc của mình thì hệ thống 33 quản lý cũng không bao giờ tốt được. Do đó xây dựng quy trình xong và để quy trình đi vào cuộc sống cần chú ý xây dựng công cụ quản lý và chú trọng công tác đào tạo, truyền thông nâng cao nhận thức cho cán bộ nhân viên. Sau khảo sát trên cả ba phương diện quy trình, công cụ và con người tại tổng công ty mạng lưới cộng với nhận biết được các giải pháp tổng công ty đã thực hiện thì đánh giá khung quản lý an toàn thông tin theo tiêu chuẩn quản lý ISO27001 là phù hợp, hiệu quả nhất cho đơn vị hiện tại. Khung quản lý an toàn thông tin được mô tả chi tiết trong hình 2.4. Các lĩnh vực chính trong quản lý ATTT [4], [5], [6], [7]. Hình 2.4 Các lĩnh vực chính trong quản lý ATTT Để có hệ thống quản lý ATTT toàn diện tổ chức cần thực hiện đầy đủ các vấn đề về quản lý chính sách ATTT, quản lý an ninh tổ chức, quản lý an ninh nguồn lực con người, quản lý tài sản, kiểm soát nguồn lực, quản lý mã hoá, quản lý bảo mật môi trường vật lý, quản lý bảo mật vận hành, quản lý bảo mật truyền thông, Quản lý nhà cung ứng và quản lý xây dựng, phát triển duy trì hệ thống [5], [6]. Việc xây dựng chính sách an toàn thông tin là cung cấp định hướng và hỗ trợ của lãnh đạo đối với hệ thống bảo mật thông tin phù hợp với những yêu cầu kinh doanh, luật pháp và chế định liên quan. Chính sách ATTT sau khi xây dựng cần được truyền thông đào tạo đầy đủ trong nội bộ cũng như cho các đối tác làm việc với đơn vị hiểu và nắm được nguyên tắc chung về ATTT với tổ chức. Và chính 34 sách này cần được định kỳ xem xét cập nhật nội dung, thay đổi phù hợp với thực tế tổ chức nếu cần. Quản lý an ninh trong tổ chức là việc quản lý bảo mật thông tin của tổ chức và những phương tiện xử lý thông tin cần được tiếp cận, quy trình, thông tin hoặc được điều hành trong nội bộ và với các tổ chức bên ngoài. Trong nội bộ đơn vị cần có phân công vai trò trách nhiệm đơn vị rõ ràng liên quan như thế nào tới việc quản lý an toàn thông tin. Quản lý bảo mật vấn đề nhân sự để đảm bảo rằng tất cả các nhân viên, người cung cấp nhân lực và người dùng của bên thứ ba hiểu được trách nhiệm của họ, và phù hợp với những vai trò họ thể hiện, và để giảm thiểu rủi ro về thất thoát, gian lận hoặc lạm dụng thiết bị của công. Tổ chức đưa ra các giải pháp, các chương trình đào tạo nhằm đảm bảo rằng tất cả các nhân viên, người cung cấp nhân lực và những người dùng của bên thứ ba nhận biết được các mối đe doạ và vấn đề liên quan về bảo mật thông tin, trách nhiệm và nghĩa vụ của họ, và được trang bị để hỗ trợ chính sách bảo mật thông tin của tổ chức trong phạm vi công việc bình thường của họ, và để giảm thiểu các rủi ro về lỗi con người. Nhân viên, người cung cấp nhân lực và người dùng bên thứ ba rời khỏi tổ chức hoặc thay đổi vị trí tuân thủ những quy định về bàn giao đầy đủ tài sản, quyền truy cập và cam kết bảo mật thông tin cho tổ chức kể cả khi đã nghỉ hoặc thôi không làm việc với đơn vị. Tổ chức cần thực hiện quản lý, phân loại, kiểm kê tài sản định kỳ để duy trì những sự bảo mật cần thiết đối với tài sản của tổ chức và đảm bảo rằng rất cả các tài sản đều có các biện pháp bảo mật an toàn phù hợp. Các tài sản đánh giá phân loại các mức độ quan trọng khác nhau sẽ được ưu tiên các biện pháp kiểm soát khác nhau, ưu tiên và phù hợp theo mức độ quan trọng của tài sản đó. Khi đơn vị thực hiện các biện pháp quản lý truy cập tức là triển khai các biện pháp quản lý truy cập cả về mặt logic và vật lý. Kiểm soát truy cập lôgic cho các quyền truy cập trên hệ thống, kiểm soát nhóm quyền ưu tiên có đặc quyền cao thì cần phải đảm bảo có đầy đủ biện pháp xác nhận bảo vệ phù hợp. Một trong những biện pháp kiểm soát ATTT quan trọng không thể thiếu hiện nay là quản lý mã hóa. Mã hoá thông tin khi lưu trữ, vận chuyển nhằm bảo vệ an toàn dữ liệu không bị sử dụng, xâm phạm bởi người không được phép. Sử dụng mã hóa để bảo vệ thông tin nhạy cảm được truyền bởi các thiết bị, phương tiện di động hoặc phương tiện có thể di dời, hoặc qua các đường truyền thông. 35 Các biện pháp quản lý an toàn môi trường, vật lý là các biện pháp liên quan tới kiểm soát an ninh, an toàn về vành đai vật lý ngăn chặn những sự thâm nhập trái phép làm tổn hại về mặt vật lý trái phép trong tổ chức. Tổ chức cần triển khai các cách kiểm soát ra vào, các vòng an ninh bảo vệ, cửa an ninh, thẻ từ, camera giám sát v.v. Để ngăn ngừa những sự mất mát, tổn hại đến tài sản và làm gián đoạn những hoạt động của tổ chức. Các hoạt động quản lý an toàn vận hành nhằm giảm thiểu rủi ro về những lỗi hệ thống. Nhằm ngăn ngừa những sự lộ tin, sự vi phạm, sửa đổi, di dời hoặc phá huỷ không được phép của tài sản và sự làm gián đoạn các hoạt động kinh doanh. Nhằm phát hiện ra những hành động xử lý thông tin không được phép. Cần xây dựng quy trình quản lý sự cố an toàn bảo mật để bảo đảm những sự kiện bảo mật thông tin và những điểm yếu liên quan đến hệ thống thông tin được truyền đạt để có thể có những hành động khắc phục hợp lý và đúng lúc. Bên cạnh đó quản lý tính liền mạch kinh doanh để tối thiểu thời gian gián đoạn trong những hoạt động kinh doanh để bảo vệ những hoạt động kinh doanh quan trọng không bị ảnh hưởng gián đoạn bởi các sự cố lớn hoặc thảm hoạ từ hệ thống thông tin và để đảm bảo sự hoạt động lại kịp thời. Quản lý an toàn truyền thông là các biện pháp kiểm soát để đảm bảo các hệ thống cần được quản lý và kiểm soát để bảo vệ thông tin trong các hệ thống và ứng dụng. Các thông tin được thông báo ra ngoài sẽ được xem xét phê duyệt theo quy trình kiểm soát cụ thể để đảm bảo các thông tin được cung cấp đúng đến các đối tượng một cách phù hợp. Các biện pháp để quản lý yêu cầu, phát triển và duy trì hệ thống thông tin để bảo đảm rằng bảo mật là một phần không thể thiếu trong hệ thống thông tin. Các giải pháp về ATTT được đưa ra, chú trọng ngay từ khi xây dựng hệ thống. Để ngăn ngừa lỗi, mất mát, thay đổi và lạm dụng trái phép các thông tin ứng dụng. Bảo vệ sự bảo mật, sự xác thực, hay toàn vẹn của thông tin bởi những mật mã. Hạn chế rủi ro xuất phát từ việc lợi dụng những điểm yếu kỹ thuật. Bên cạnh đó, tổ chức cần đặc biệt lưu ý tới các vấn đề về quản lý mối quan hệ nhà cung ứng để đảm bảo việc bảo vệ tài sản của tổ chức có thể bị truy cập bởi các nhà cung cấp bên ngoài hay không. Tổ chức cần xác định và đưa ra chính sách kiểm soát an toàn thông tin đối với các nhà cung cấp đặc thù có quyền truy cập đến thông tin của tổ chức. Những kiểm soát này cần đề cập tới các quy trình và thủ tục cần được thực hiện bởi tổ chức, cũng như những quy trình và thủ tục mà tổ chức cần yêu cầu các nhà cung cấp thực hiện. 36 Từ khung các lĩnh vực chính mà đơn vị cần thực hiện kiểm soát một cách đầy đủ khi xây dựng hệ thống quản lý ANTT như hình 2.4. Em đã thực hiện khảo sát đánh giá hoạt đông quản lý ANTT theo các đầy đủ các yêu cầu trên chi tiết theo checklist đã được xây dựng theo Phụ lục 02. Checklist khảo sát đánh giá rủi ro cho dữ liệu viễn thông. Qua đó thấy được điểm mạnh, điểm yếu của tổ chức hiện tại, các biện pháp kiểm soát đã và đang làm tốt sẽ tiếp tục duy trì. Các biện pháp còn thiếu chưa triển khai hoặc triển khai chưa đầy đủ thì cần được triển khai bổ sung và tăng cường. Do vậy dựa vào kết quả đánh giá khảo sát tại Tổng công ty mạng lưới, em xin được đề xuất ba giải pháp chính triển khai cho Tổng công tý về Quản lý rủi ro an toàn thông tin đây là phương pháp xuyên suốt giúp cho tổ chức sớm nhận ra các điểm rủi ro về ATTT mình ở đâu từ đó sẽ có lựa chọn biện pháp kiểm soát ATTT. Từ việc sớm đánh giá nhìn nhận ra rủi ro sẽ giúp tổ chức chủ động có biện pháp phù hợp giảm thiểu rủi ro xảy ra. Tuy nhiên phương pháp này chưa được thực hiện triển khai cho nội bộ tổng công ty mà chỉ khi xảy ra rủi ro mới thực hiện hành động xử lý sự cố, vấn đề. Nghiên cứu xây dựng phương pháp luận, công cụ, mô hình tổ chức để thực hiện việc quản lý rủi ro ATTT cho đơn vị. Rủi ro được hiểu là sự không chắc chắn và là khả năng xảy ra kết qur không mong muốn. Trong các khả năng xảy ra có ít nhất một khả năng là kết quả không mong muốn có thể đem lại tổn thất hay thiệt hại cho đơn vị.4 Quản lý rủi ro an toàn thông tin là quản lý các khả năng xảy ra kết quả không mong muốn liên quan tới ATTT. Nhóm biện pháp thứ hai cần đẩy mạnh triển khai và công tác ATTT cho hoạt động công tác vận hành. Xây dựng bộ quy trình, công cụ trong công tác quản lý vận hành đảm bảo bảo mật, tin cậy và sẵn sàng. Nhóm biện pháp thứ ba nhằm tăng cường tính sẵn sàng, liên tục của hệ thống giảm thời gian gián đoạn khi xảy ra sự cố hoặc tình huống bất lợi không mong muốn xảy ra. Chi tiết việc xây dựng giải pháp triển khai cho ba biện pháp trên được trình bày cụ thể trong chương ba. 4 https://www.praxiom.com/iso-27000-definitions.htm#Risk 37 CHƯƠNG 3. GIẢI PHÁP NÂNG CAO NĂNG LỰC QUẢN LÝ AN TOÀN THÔNG TIN DỮ LIỆU VIỄN THÔNG Như đã phân tích ở chương hai, để triển khai việc quản trị ATTT dữ liệu, tổ chức xây dựng hệ thống quản trị ATTT, mô hình lựa chọn là phù hợp với đặc thù đơn vị là dựa trên tiêu chuẩn quản lý hệ thống An toàn thông tin theo tiêu chuẩn ISO 27001:2013. Tiêu chuẩn này đã được chuẩn bị nhằm cung cấp một mô hình để thiết lập, thực hiện, vận hành, theo dõi, xem xét, duy trì và cải tiến hệ thống quản lý an toàn bảo mật thông tin (ISMS). Việc chấp nhận ISMS phải là quyết định mang tính chiến lược của một tổ chức. Việc thiết kế và thực hiện ISMS của tổ chức chịu ảnh hưởng bới các cần thiết và các mục tiêu, các yêu cầu an toàn bảo mật, các quá trình tuyển dụng và qui mô và cấu trúc của tổ chức. Các yếu tố này cùng với các hệ thống hỗ trợ của chúng có thể xảy ra thay đổi theo thời gian. Tiêu chuẩn này sử dụng cách tiếp cận theo quá trình để thiết lập, thực hiện, vận hành, theo dõi, xem xét, duy trì và cải tiến ISMS của một tổ chức. Tổ chức cần nhận biết và quản lý nhiều hoạt động nhằm thực hiện chức năng một cách hiệu quả. Bất kỳ hoạt động nào sử dụng các nguồn lực và được quản lý nhằm biến các đầu vào thành các đầu ra được coi như một quá trình. Thông thường các đầu ra của một quá trình hình thành đầu vào trực tiếp cho quá trình tiếp theo. Việc áp dụng một hệ thống các quá trình của một tổ chức, đồng thời với việc nhận biết và tương tác giữa các quá trình đó, và việc quản lý chúng được xem như một cách tiếp cận theo quá trình. Tiêu chuẩn này có thể áp dụng cho tất cả các loại hình tổ chức (như các doanh nghiệp, các cơ quan chính phủ, tổ chức phi lợi nhuận). Tiêu chuẩn này chỉ định rõ các yêu cầu để thiết lập, thực hiện, vận hành, theo dõi, xem xét, duy trì và cải tiến ISMS dạng văn bản trong bối cảnh toàn bộ các rủi ro trong công việc của tổ chức. Nó chỉ định rõ các yêu cầu thực hiện các kiểm soát an toàn bảo mật tuỳ biến cho các cần thiết của từng tổ chức hay các bộ phận riêng rẽ. ISMS được thiết kế nhằm đảm bảo rằng sự lựa chọn các kiểm soát an toàn bảo mật thích hợp và tương xứng nhằm bảo vệ các tài sản thông tin và đưa bằng chứng tin cậy cho các bên quan tâm. 3.1 PHƯƠNG PHÁP QUẢN LÝ RỦI RO Để xây dựng và triển khai phương pháp quản lý rủi ro cho tổ chức cần triển khai áp dụng quản lý rủi ro trên cả ba yếu tố quy trình, công cụ và con người. 38 Trong luận văn này em đã nghiên cứu xây dựng phương pháp luận cho việc quản lý đánh giá và xử lý rủi ro, các nguyên tắc khi thực hiện quản lý rủi ro. Khảo sát mô hình hoạt động đơn vị để xây dựng mô hình tổ chức với các đơn vị phòng ban chức năng phù hợp với tổ chức để đi vào vận hành hệ thống quản lý rủi ro. Tiếp đó thực hiện triển khai phương pháp, mô hình quản lý rủi ro vào thực tế để tiếp tục xây dựng công cụ quản lý các rủi ro sau khi đánh giá báo cáo rủi ro phát hiện ra. Trước tiên cần xác định cách thức đánh giá rủi ro của tổ chức: Nhận biết phương pháp đánh giá rủi ro phù hợp với ISMS, và các yêu cầu đã xác định về an toàn bảo mật thông tin kinh doanh, qui chế, luật định. Xây dựng các tiêu chí chấp nhận rủi ro và nhận biết các mức rủi ro có thể chấp nhận được.5 Nguyên lý quản lý rủi ro cho tổ chức Xây dựng nguyên tắc về việc quản lý rủi ro cho TCT như sau: Công tác QLRR phải đảm bảo tạo ra và bảo vệ giá trị, duy trì, phát triển kinh doanh bền vững trong dài hạn đối với hoạt động của tổ chức theo các nguyên tắc quản trị sau: Quản trị rủi ro phải nằm trong chiến lược chung của tổ chức, gắn liên với các hoạt động chủ chốt, đi cùng với các hoạt động để tạo ra giá trị phát triển. Tổ chức cần xây dựng nguyên tắc về việc chấp nhận rủi ro cho các hoạt động của mình đó chính là cácrủi ro được phép trong phạm vi khẩu vị rủi ro đã được xác định. Để biết được rủi ro nào là chấp nhận được trong khẩu vị chấp nhận được thì các rủi ro khi phát hiện ra sẽ được đánh giá, đo lường mức độ nghiêm trọng của rủi ro. Việc quyết định các rủi ro được xử lý như thế nào sẽ được đánh giá tính toán dựa trên chi phí tổ chức cần bỏ ra để xử lý rủi ro và ảnh hưởng rủi ro đó đem đến nếu xảy ra. Đảm bảo nguyên tắc hài hòa giữa mức độ rủi ro và lợi nhuận. Tuân thủ và đảm bảo tính độc lập về chức năng giữa ba tuyến phòng thủ, kiểm soát rủi ro. Tuân thủ nguyên tắc phân tán rủi ro (phi tập trung, tránh, chuyển giao, giảm thiểu rủi ro).Tính tới mối tương quan giữa các rủi ro, tức rủi ro này có liên quan đến rủi ro khác. Quy trình quản trị rủi ro phải được duy trì liên tục để phản ứng kịp thời với thay đổi của môi trường kinh doanh. Rủi ro được chấp nhận phải có nguồn được bù đắp đầy đủ. Bảo đảm nguyên tắc kiểm soát rủi ro thận trọng trọng việc triển khai sản phẩm mới. Hệ thống văn bản quản lý QLRR gồm các cấp văn bản. 5 International Organization for Standardization. Risk management – Guideline ISO/IEC 31000:2018 39 Hình 3.1 Tháp quản lý rủi ro của tổ chức viễn thông Trên cùng là các nguyên tắc về quản trị rủi ro, cơ cấu mô hình tổ chức cho việc vận hành hệ thống quản lý rủi ro. Dưới đó là khung khẩu vị rủi ro, xác định mục tiêu, nguyên tắc chiến lược, nguyên tắc quản lý rủi ro, chỉ số khẩu vị rủi ro của tổ chức. Tiếp theo tầng ba của tháp quản lý rủi ro là xây dựng bộ quy trình về quản lý rủi ro, các bước để nhận biết rủi ro, đo lường và đánh giá rủi ro, xử lý, kiểm soát để giảm thiểu rủi ro xảy ra và các hoạt động báo cáo định kỳ về công tác quản lý rủi ro. Sau khi triển khai áp dụng đánh giá rủi ro thì ta sẽ có danh sách các rủi ro của đơn vị, danh sách rủi ro liên tục được cập nhật thường xuyên theo định kỳ khi có thay đổi trạng thái, kết quả về việc xử lý rủi ro, các rủi ro mới phát sinh. Qua đó để xây dựng mô trường có văn hoá quản lý rủi ro trong mọi hoạt động. Mọi người khi thực hiện cần có đánh giá để lường trước khả năng rủi ro có thể xảy ra để có hành động khắc phục, phòng ngừa [2]. Mô hình tổ chức và phương pháp quản lý rủi ro Để áp dụng được tháp quản lý rủi ro theo hình 3.1 một cách hiệu quả thì ta cần xây dựng mô hình tổ chức có phân công trách nhiệm rõ ràng liên quan đến công tác quản lý rủi ro. Trong luận văn này, sau khi đánh giá hoạt động của đơn vị, em đánh giá được cần thiết phải xây dựng áp dụng mô hình ba tuyến phòng thủ rủi ro như một số hệ thống quản lý rủi ro đã áp dụng cho ngân hàng. Nhưng tại TCT mạng lưới thì cần tích cực phát huy tối đa và rất mạnh công tác quản lý đánh giá 40 rủi ro tại lớp một là chính tại các đơn vị phòng ban chức năng. Vì hơn ai hết họ chính là người nắm rõ nhất các hệ thống mình đang làm chủ quản vận hành. Việc đánh giá rủi ro ở tuyến này sẽ luôn là nhanh nhất, kịp thời, chính xác nhất. Và cùng góp phần đẩy mạnh văn hoá quản lý rủi ro trong tổng công ty. TẬP ĐOÀN BAN TỔNG GIÁM ĐỐC BP QTRR Tuyến Kiểm soát thứ 1 Tuyến KS thứ 2 Tuyến KS thứ 3 CÁC ĐƠN VỊ PHÒNG BAN CHỨC NĂNG TRONG TỔ CHỨC BAN THANH TRA&KS ĐƠN VỊ KIỂM TOÁN ĐỘC LẬP TCT Hình 3.2 Mô hình kiểm soát rủi ro dữ liệu viễn thông 3 lớp Tuyến kiểm soát thứ nhất Các bộ phận kinh doanh, phát triển sản phẩm, các bộ phận: Gồm bộ phận Chiến lược, Khách hàng và Marketing, Phát triển và quản lý sản phẩm, Công nghệ thông tin, Điều hành kinh doanh, Kinh doanh thị trường nước ngoài, Chăm sóc khách hàng, Kiểm soát chất lượng, đơn vị vận hành khai thác hệ thống. Hàng ngày tiếp cận với nghiệp vụ của mình, với các am hiểu sâu sắc về chuyên môn, sản phẩm nên tuyến này sẽ là tuyến hiệu quả, tích cực cần đẩy mạnh trong công tác quản lý rủi ro. Tuyến kiểm soát thứ hai Xây dựng chính sách, hệ thống và công cụ QLRR phù hợp với quy định của pháp luật, thông lệ quốc tế và thực tiễn kinh doanh. Triển khai giám sát QLRR: Xây dựng khung quản trị rủi ro, các chính sách, quy định, quy trình cho công tác quản lý rủi ro trong tổ chức. Triển khai công tác QLRR bao gồm nhận diện, đo lường, theo dõi, kiểm soát và báo cáo rủi ro. Xây dựng khẩu vị rủi ro (KVRR), hạng mục rủi ro (HMRR), chỉ số đo lường rủi ro chính KRI đối với hoạt động và định kỳ rà soát theo quy định; độc lập hoặc phối hợp với tuyến kiểm soát thứ nhất để theo dõi chỉ tiêu rủi ro nhằm cảnh báo, nhận 41 biết sớm nguy cơ vi phạm; Độc lập và chủ động phối hợp với các đơn vị giám sát, đánh giá việc thực thi các chín