Tuy nhiên, rất nhiều doanh nghiệp vẫn chưa nhận thức được tầm quan trọng của vấn đề quản lý rủi ro đối với tài sản thông tin - mà quan trọng nhất là bảo mật thông tin và những nguy cơ có
Trang 1MỞ ĐẦU 2
I Tài sản thông tin của doanh nghiệp 3
1 Định nghĩa 3
2 Phân loại 3
II Quản lý rủi ro thông tin 6
1 Định nghĩa 6
2 Những người liên quan đến quản lý rủi ro thông tin 6
3 Thẩm định rủi ro 6
III Bảo mật thông tin trong doanh nghiệp 8
1 Bảo mật thông tin 8
2 Sự cần thiết của Bảo mật thông tin 8
3 Đánh giá nhu cầu bảo vệ thông tin 9
4 Mục đích của bảo mật thông tin 9
5 Các biến cố về bảo mật thông tin 9
IV Một số biện pháp bảo mật thông tin 10
1 Xử lý và lưu trữ giấy tờ, các tư liệu và phương tiện truyền thông hữu hình 10
2 Xử lý và lưu trữ thông tin trong hệ thống ICT 10
3 Sao lưu thông tin 11
4 Hủy thông tin 12
5 Hủy hoặc tái sử dụng thiết bị và phương tiện truyền thông 12
6 Trao đổi thông tin (gồm cả việc sử dụng internet và các mạng truy cập công cộng khác) 13
7 Thiết bị tin học, điện thoại di động và các thiết bị ngoài văn phòng .13
8 Bưu chính và các dịch vụ chuyển phát 14
9 Chính sách bảo mật thông tin 14
KẾT LUẬN 15
TÀI LIỆU THAM KHẢO 16
Trang 2MỞ ĐẦU
Trong một nền kinh tế toàn cầu hóa như hiện nay thì vấn đề thông tin được xem là sự sống còn đối với các doanh nghiệp Thông tin được coi là một tài sản quan trọng của doanh nghiệp Tuy nhiên, rất nhiều doanh nghiệp vẫn chưa nhận thức được tầm quan trọng của vấn đề quản lý rủi ro đối với tài sản thông tin - mà quan trọng nhất là bảo mật thông tin và những nguy cơ có thể xảy ra từ việc rò rỉ thông tin trong chính nội bộ của doanh nghiệp mình
Theo một số liệu thống kê về vấn đề bảo mật thông tin của Tổ chức chứng nhận TÜVRheinland Việt Nam cho biết, mỗi năm có trên 15.000 hồ sơ của các bệnh viện bị tìm thấy trong thùng rác, 30.000 mật khẩu của các tài khoản Internet bị công bố trên mạng, 25 người từ phòng phát triển kinh doanh của công ty này chuyển sang công ty đối thủ, các ngân hàng phải trả hàng triệu USD do bị tấn công vào hệ thống giao dịch nghiệp vụ và 300.000
số tài khoản tín dụng cá nhân bị trộm, một số bị công bố trên Web
Theo một cuộc khảo sát về vấn đề bảo mật thông tin của tổ chức nghiên cứu thị trường EY, có 66% các công ty được hỏi cho biết họ gặp các vấn đề
về bảo mật thông tin, 65% bị tấn công bởi nhân viên nội bộ, 49% chưa xem bảo mật thông tin là ưu tiên hàng đầu, 40% không nghiên cứu về các vấn
đề rủi ro trong bảo mật
Trong khi đó, với những lĩnh vực quan trọng, có khả năng bị ảnh hưởng lớn do rò rỉ thông tin mang lại như vừa nêu thì chưa có sự đầu tư cân xứng cho bảo mật thông tin
Trong quản lý bảo mật thông tin hiện nay, vấn đề được đặt ra là Bảo mật thông tin là một thách thức trong quản lý hay vấn đề về kỹ thuật, công nghệ? Thực chất 80% sẽ thuộc về quản lý Vấn đề quản lý phải được hiểu bao gồm các chính sách bảo mật thông tin, vấn đề phân công trách nhiệm bảo mật thông tin, nhận thức và huấn luyện về bảo mật thông tin, hoạch định đảm bảo việc kinh doanh liên tục Chỉ có 20% là vấn đề kỹ thuật gồm
hệ thống, công cụ, cấu trúc v.v
Bảo mật thông tin phải được xem xét như là một trách nhiệm quản lý và kinh doanh, không đơn giản chỉ là yếu tố kỹ thuật cần được giao cho các chuyên gia công nghệ hay bộ phận IT Để bảo đảm bảo mật kinh doanh, doanh nghiệp phải hiểu biết cả các vấn đề của nó và những giải pháp cho vấn đề
Trang 3I Tài sản thông tin của doanh nghiệp
1 Định nghĩa
Thông tin được tạo ra, sử dụng, lưu trữ và truyền đạt trong một doanh nghiệp là một trong những tài sản quan trọng nhất của doanh nghiệp
Tài sản thông tin của doanh nghiệp là một tập hợp dữ liệu được coi là có giá trị đối với một doanh nghiệp trong việc thực hiện các chức năng của mình và đáp ứng được các yêu cầu của doanh nghiệp
Các tài sản thông tin có thể là tài liệu, thư điện tử, hình ảnh, 1 dòng trong cơ sở dữ liệu (dạng bảng, biểu…), tập hợp của siêu dữ liệu, hoặc một bảng hoặc con số trong một tài liệu…
Một số tài sản thông tin cần có sự bảo vệ:
- Các hồ sơ của doanh nghiệp (tài khoản công ty, báo cáo thuế và thuế GTGT…)
- Hồ sơ cá nhân
- Thông tin khách hàng
- Sở hữu trí tuệ (thiết kế, thông số kỹ thuật, kết quả nghiên cứu…)
- Hồ sơ y tế
2 Phân loại
Không phải tất cả các thông tin đều có giá trị và tầm quan trọng như nhau đối với công ty, vì vậy thông tin cần được phân loại và bảo vệ ở nhiều mức khác nhau
Việc phân loại tài sản thông tin là rất quan trọng để đảm bảo các tài sản này được bảo vệ ở mức tương ứng với mức độ nhạy cảm và giá trị của tài sản thông tin Tài sản thông tin có thể được phân loại theo 1 số cách sau:
1.1 Phân loại theo các mức độ sẵn sàng:
- Sẵn sàng cơ bản (Thường xuyên): Thông tin và dịch vụ phục vụ cho các quá trình và hoạt động của doanh nghiệp phải có trong vòng 12-48 giờ
- Sẵn sàng trung bình (Ưu tiên): Thông tin và dịch vụ phục vụ cho các quá trình và hoạt động của doanh nghiệp phải có trong vòng 12 giờ
- Sẵn sàng cao (Ưu tiên cao): Thông tin và dịch vụ phục vụ cho các quá trình và hoạt động của doanh nghiệp phải có trong vòng 2-3 giờ
Trang 4- Sẵn sàng rất cao (Ngay lập tức): Thông tin và dịch vụ phục vụ cho các quá trình và hoạt động của doanh nghiệp phải sẵn sàng bất kỳ lúc nào
1.2 Phân loại theo các mức độ bảo mật:
Mức độ bảo mật được xác định nhằm phản ánh độ nhạy cảm của tài sản thông tin và ảnh hưởng của việc tiết lộ thông tin trái phép như sau:
- Thông tin có sẵn được phép công khai: là các thông tin mà nếu bị tiết lộ cũng không gây hại cho công ty
VD: Các thông tin xuất hiện trên website của doanh nghiệp, trên các phương tiện bán hàng và marketing, các bài phát biểu công khai và hướng dẫn sử dụng sản phẩm
- Thông tin “chỉ dùng trong nội bộ”: là các thông tin mà bất kỳ nhân viên nào trong công ty cũng tiếp cận được, nhưng phải được cho phép mới được tiết lộ ra ngoài Việc công bố hoặc mất mát những thông tin như vậy sẽ là không đúng và gây trở ngại, và có thể có một số tác động đáng kể đối với doanh nghiệp
- Thông tin bảo mật: là những thông tin có tính nhạy cảm thương mại và việc tiết lộ hoặc mất mát những thông tin như vậy sẽ có ảnh hưởng lớn đến doanh nghiệp Ảnh hưởng có thể đến tài chính hoặc có thể ảnh hưởng đến lợi nhuận, lợi thế cạnh tranh hoặc cơ hội kinh doanh hoặc làm mất uy tín của doanh nghiệp
- Thông tin đảm bảo tuyệt mật: là các thông tin có tính nhạy cảm thương mại và việc tiết lộ hoặc mất mát những thông tin như vậy sẽ có ảnh hưởng rất lớn đến doanh nghiệp
Một lần nữa, ảnh hưởng có thể là về mặt tài chính của doanh nghiệp hoặc có thể ảnh hưởng đến lợi nhuận, lợi thế cạnh tranh hoặc cơ hội kinh doanh hoặc làm mất uy tín của doanh nghiệp, tuy nhiên mất mát hoặc hậu quả - dù có tính chất thế nào - cũng sẽ là vô cùng nghiêm trọng
Thông tin được coi là “Bảo mật” hoặc “Bảo đảm tuyệt mật” như:
+ Chiến lược đầu tư
+ Thông tin tiếp thị
+ Đánh giá các đối thủ cạnh tranh
+ Thông tin cá nhân
+ Thông tin khách hàng
+ Thông tin về sát nhập, thoái vốn và mua lại
+ Chiến lược cạnh tranh và kinh doanh mức độ cao
Trang 5+ Thẩm định về các đối thủ cạnh tranh, đối tác hoặc nhà thầu vô cùng nhạy cảm
+ Các kế hoạch kinh doanh mức độ cao và các lựa chọn tiềm năng
+ Thông tin bản quyền/sáng chế
1.3 Phân loại theo cấu trúc thông tin
Thông tin do doanh nghiệp sở hữu và các thông tin từ bên ngoài mà doanh nghiệp truy cập vào có rất nhiều dạng khác nhau và thường được định dạng số hoá để lưu trữ và truyền đi
- Dữ liệu đã được cấu trúc
Các dữ liệu được lưu giữ trong cơ sở dữ liệu thường được dùng để hỗ trợ cho các hoạt động điều hành và các giao dịch kinh doanh Các cơ sở dữ liệu bao gồm những bản ghi đã được cấu trúc chứa các chi tiết về các chủ đề liên quan đến kinh doanh như các khách hàng, tình hình tài chính, các công
ty và các nguồn lực khác trong và ngoài doanh nghiệp
- Các dữ liệu chưa được cấu trúc
Những dữ liệu loại này bao gồm hình, ảnh, bản đồ, các bản thu âm và video Trong lĩnh vực công cộng, rất nhiều loại tài liệu dưới dạng giấy tờ được lưu trữ trong các tệp và sẽ được chuyển thành một phần của các bản ghi
- Thông tin tham khảo và thư viện
Các thư viện hiện nay đang cung cấp rất nhiều nguồn thông tin khác nhau ngày càng nhiều, bao gồm các cuốn catogue, cơ sở dữ liệu thương mại, dịch vụ cung cấp thông tin trực tuyến và dịch vụ Internet
Ngoài ra, các doanh nghiệp cũng có thể có các thông tin đặc trưng theo khu vực và có thể ảnh hưởng đến mức độ phân chia trên, một trong số loại thông tin như vậy là thông tin/dữ liệu cá nhân Đây là những thông tin về người lao động, khách hàng và những cá nhân khác Việc tiết lộ những thông tin này sẽ có hậu quả pháp luật nghiêm trọng
1.4 Hạ cấp thông tin
- Một số thông tin chỉ mang tính quan trọng hoặc nhạy cảm trong một khoảng thời gian xác định Trong những trường hợp như vậy, người tạo thông tin nên chỉ ra ngày hoặc sự kiện mà sau đó thông tin có thể xuống cấp thấp hơn Điều này tránh được việc bảo vệ thông tin không cần thiết
Trang 6II Quản lý rủi ro thông tin
1 Định nghĩa
Cụm từ “rủi ro thông tin” (information risk) thường được dùng với hai
nghĩa khác nhau:
- Rủi ro trong việc truyền tin và bảo vệ tin (khỏi bị sai lệch, đánh cắp, …), hiểu là thông tin từ bên trong một tổ chức nào đó
- Rủi ro trong việc tiếp nhận thông tin, hiểu là thông tin từ bên ngoài
Quản lý rủi ro: Quản lý rủi ro gồm 1 loạt các hoạt động trong doanh
nghiệp được định hướng đến việc đánh giá và giải quyết rủi ro
Lưu ý: Quản lý rủi ro thường gồm đánh giá rủi ro, giải quyết rủi ro, chấp nhận rủi ro và trao đổi rủi ro (trao đổi hoặc chia sẻ thông tin về rủi ro giữa những người đưa ra quyết định và những người liên quan khác) (Iso 73:2002)
Quản lý rủi ro thông tin cũng thích ứng với quá trình chung của quản lý
rủi ro và cũng áp dụng quá trình quản lý rủi ro chung đối với tính sẵn sàng, tính trọn vẹn và tính bảo mật của các tài sản thông tin và môi trường thông tin
Quản lý rủi ro thông tin cần được đưa vào trong tất cả các quyết định đối với hoạt động hàng ngày của doanh nghiệp và nếu được sử dụng hiệu quả
thì đây có thể là một công cụ để quản lý thông tin một cách chủ động
2 Những người liên quan đến quản lý rủi ro thông tin
- Người sở hữu thông tin, chịu trách nhiệm về một mục tin cụ thể cũng như tính chính xác, sẵn sàng để sử dụng và bảo mật của thông tin
- Người chăm sóc thông tin, chịu trách nhiệm bảo trì thiết bị truyền thông tin và các vấn đề liên quan tới công nghệ thông tin
- Người sử dụng (trong và ngoài tổ chức) truy cập và sử dụng các thông tin do người sở hữu thông tin chỉ định và được người chăm sóc thông tin cho phép
3 Thẩm định rủi ro
Đánh giá rủi ro là đánh giá các nguy cơ, sự tổn hại và ảnh hưởng đối với thông tin và các phương tiện xử lý thông tin và khả năng xảy ra của chúng Thẩm định rủi ro là quá trình tổng thể của việc nhận diện rủi ro, phân tích rủi ro và đánh giá rủi ro
Rủi ro Bảo mật thông tin được đánh giá trong những nội dung sau:
Trang 71.1 Tài sản thông tin:
Tài sản thông tin có tầm quan trọng, độ hữu dụng và giá trị thế nào đối với doanh nghiệp?
1.2 Nguy cơ
Nguy cơ là một nguyên nhân tiềm năng về một biến cố không mong muốn mà khi xảy ra có thể gây hại đến hệ thống hoặc doanh nghiệp
Những nguy cơ nào có thể gây ra hư hỏng, thiệt hại hoặc mất mát đối với thông tin của doanh nghiệp? Khả năng xảy ra như thế nào?
Nguy cơ có thể là một trong các hình thức sau:
- Lỗi hệ thống
- Sự không chấp hành của nhân viên
- Sự truy cập không được phép của đối thủ cạnh tranh
- Phần mềm tấn công độc hại
- Hành vi trộm cắp máy tính xách tay
- Gian lận và lừa đảo
- Hành vi trộm cắp trực tuyến và giả mạo
- Đánh cắp nhận dạng
1.3 Tính tổn thương
Tính tổn thương là điểm yếu của một tài sản hoặc nhóm tài sản mà có nguy cơ bị xâm hại
Tài sản thông tin của doanh nghiệp dễ bị tổn thương nhất ở đâu và ra sao? Nó có thể bị tổn hại thế nào?
Một số tổn hại có thể xảy ra:
- Thiếu các qui trình và hướng dẫn hiệu quả trong việc xử lý thông tin
- Thiếu sự đào tạo cho người sử dụng và nhận thức của người sử dụng
- Việc kiểm soát truy cập vào hệ thống Công nghệ thông tin yếu
- Không phân bổ trách nhiệm
- Không có sao lưu thông tin
1.4 Ảnh hưởng
Điều gì sẽ ảnh hưởng đến tính trọn vẹn, tính sẵn sàng và/hoặc tính bảo mật của tài sản nếu một nguy cơ có thể xảy ra?
Trang 8Quá trình đánh giá rủi ro là một thực hành tốt của doanh nghiệp Nó sẽ
là cơ sở của bất kỳ việc phân loại hoặc phân cấp tài sản thông tin nào và được sử dụng để xác định các cấp độ phân loại Bằng cách đánh giá những khía cạnh này, doanh nghiệp có thể có một hình dung về những nguy cơ đối với thông tin của doanh nghiệp và rủi ro kinh doanh đối với doanh nghiệp
III Bảo mật thông tin trong doanh nghiệp
1 Bảo mật thông tin
Bảo mật thông tin là duy trì tính bảo mật, tính trọn vẹn và tính sẵn sàng của thông tin
- Tính bảo mật: đảm bảo thông tin chỉ được tiếp cận bởi những người được cấp quyền tương ứng
- Tính trọn vẹn: bảo vệ sự chính xác, hoàn chỉnh của thông tin và thông tin chỉ được thay đổi bởi những người được cấp quyền
- Tính sẵn sàng: những người được quyền sử dụng có thể truy xuất thông tin khi họ cần
2 Sự cần thiết của Bảo mật thông tin
Trong những năm gần đây, sự nở rộ của những hệ thống và mạng lưới thông tin được kết nối với nhau khiến cho các doanh nghiệp không thể xao nhãng việc bảo vệ thông tin của mình Các doanh nghiệp không thể dự đoán được các đối tác thương mại của mình hoặc bên thứ 3 sẽ bảo vệ thông tin của họ như thế nào
Tất cả các doanh nghiệp thu thập và tạo ra những thông tin sống còn đối với hoạt động và sự phát triển của doanh nghiệp VD như các dữ liệu về các loại khách hàng và nhà cung cấp và các thông tin liên quan đến sản phẩm, chế biến, hoạt động của doanh nghiệp và các kế hoạch
Sự bảo vệ các nguồn thông tin của doanh nghiệp là sống còn đối với cả
sự phát triển của doanh nghiệp cũng như phù hợp với các yêu cầu về qui định, luật pháp, thỏa thuận hợp đồng Vì những lý do này, thông tin được coi là một tài sản quan trọng của doanh nghiệp cần được quản lý hiệu quả
Vì vậy, cần thiết là doanh nghiệp đòi hỏi tài sản thông tin của mình được giữ
bí mật khi cần, sẵn sàng khi cần dùng và được bảo vệ khỏi hư hại, phá hỏng, mất mát
Tài sản thông tin có thể dưới dạng báo cáo giấy, thông tin điện tử hoặc
sở hữu trí tuệ trong đầu các cá nhân Dù ở dưới dạng nào, doanh nghiệp cũng phải cân nhắc biện pháp tốt nhất để bảo vệ an toàn tài sản thông tin của mình
Trang 93 Đánh giá nhu cầu bảo vệ thông tin
Các biện pháp kiểm soát an ninh mà doanh nghiệp thực hiện để bảo vệ tài sản của mình là chính đáng, thiết thực và cần thiết Khi đánh giá nhu cầu bảo vệ thông tin và các nguồn lực cần thiết để triển khai công tác bảo
vệ phù hợp phải cân bằng giữa rủi ro và tài sản doanh nghiệp có
Quá trình kiểm kê tài sản tồn kho là một khía cạnh quan trọng của quản
lý rủi ro
4 Mục đích của bảo mật thông tin
- Giảm thiểu rủi ro và thiệt hại đối với uy tín, lợi nhuận hoặc lợi ích của doanh nghiệp do việc mất mát hoặc hư hại đến các thông tin nhạy cảm hoặc quan trọng
- Giảm thiểu rủi ro về sự lúng túng hoặc tổn thất của doanh nghiệp phát sinh từ việc mất mát hoặc thiệt hại đối với các thông tin nhạy cảm hoặc quan trọng của doanh nghiệp khác
- Tăng sự tự tin trong quan hệ thương mại và sắp xếp các vấn đề ngoài doanh nghiệp
5 Các biến cố về bảo mật thông tin
Biến cố về Bảo mật thông tin là một hoặc nhiều các sự kiện không mong muốn hoặc không dự đoán được mà có nhiều khả năng ảnh hưởng đến hoạt động của doanh nghiệp và đe dọa Bảo mật thông tin (ISO/IEC 18044:2004) Một vài ví dụ về biến cố đối với Bảo mật thông tin:
- Mất mát về dịch vụ, thiết bị
- Hệ thống gặp sự cố hoặc quá tải
- Lỗi của con người
- Gian lận
- Không tuân thủ các qui định hoặc chỉ dẫn
- Vi phạm các thỏa thuận an ninh
- Sự thay đổi hệ thống không kiểm soát được
- Sự cố đối với phần cứng và phần mềm
- Vi phạm truy cập
Trang 10IV Một số biện pháp bảo mật thông tin
1 Xử lý và lưu trữ giấy tờ, các tư liệu và phương tiện truyền
thông hữu hình
Mục đích: Để ngăn chặn việc truy cập trái phép, thiệt hại và can thiệp đến giấy tờ và các phương tiện truyền thông Việc bảo vệ nên tương xứng với những rủi ro mà doanh nghiệp phải đối mặt và các mức độ phân loại thông tin (ISO / IEC 17799:2000 khoản 7.1 -7.3)
1.1 Tính trọn vẹn và sẵn sàng:
- Thường xuyên bảo dưỡng và kiểm tra phương tiện lưu trữ
- Thực hiện các thủ tục xử lý thích hợp đối với các giấy tờ và phương tiện truyền thông chứa các thông tin được phân loại độ trọn vẹn và/hoặc tính sẵn sàng ở mức trung bình
1.2 Tính bảo mật:
- Kiểm soát ra vào để bảo vệ tòa nhà và văn phòng
- Bảo vệ các khu vực làm việc cá nhân, phòng và các cơ sở vật chất khác
- Sử dụng các khóa tủ, ngăn kéo và két sắt để đảm bảo các tư liệu được lưu trữ một cách an toàn khi không sử dụng
- Có nội qui gọn gàng như cất giấy tờ và các phương tiện truyền thông khi không cần dùng và cuối ngày
- Có nội qui làm sạch màn hình để đảm bảo tư liệu không được quan sát trái phép
- Phân tách các giấy tờ ở các cấp phân loại khác nhau để đảm bảo những thông tin tuyệt mật không vô tình bị lẫn vào với thông tin ít nhạy cảm
- Đảm bảo người dùng có quyền và đặc quyền thích hợp để truy cập vào thông tin (tùy thuộc vào mức độ phân loại)
2 Xử lý và lưu trữ thông tin trong hệ thống ICT
Mục đích: Để kiểm soát việc truy cập thông tin được lưu trữ và xử lý trong hệ thống ICT
Một hệ thống công nghệ thông tin (ICT) là một tập hợp bao gồm phần cứng, phần mềm, dữ liệu và người sử dụng chúng Nó thường bao gồm công nghệ truyền thông, chẳng hạn như Internet
2.1 Tính trọn vẹn: