xây dựng khung quản trị dữ liệu trong việc quản lý dữ liệu của tổng công ty mạng lưới viettel

Ngoài ra, tổ chức hoạt động trên lĩnhvực viễn thông, các hệ thống lõi cần đảm bảo tính sẵn sàng liên tục cao, tuy nhiêncác phương án dự phòng, đảm bảo tính liền mạch, ứng cứu khi xảy ra

TRƯỜNG ĐẠI HỌC CÔNG NGHỆ

TRẦN THỊ NGUYỆT

NGHIÊN CỨU XÂY DỰNG KHUNG QUẢN TRỊ DỮ LIỆU CHO VIỆC QUẢN LÝ DỮ LIỆU CỦA TỔNG CÔNG TY MẠNG LƯỚI VIETTEL

Giáo viên hướng dẫn: PGS TS Phan Xuân Hiếu

LUẬN VĂN THẠC SĨ CÔNG NGHỆ THÔNG TIN

Hà Nội - 2019

LỜI CẢM ƠN

Tôi xin trân trọng cảm ơn các thầy cô Đại Học Công Nghệ- Đại Học QuốcGia Hà Nội đã tạo điều kiện cho học viên lớp cao học K24CNTT một môitrường học tập hiệu quả, đồng thời truyền đạt cho các học viên lượng kiến thức

và kinh nghiệm quý báu phục vụ cho quá trình học tập và công tác của tôi tronghiện tại và tương lai Cách thức làm việc, học hỏi của các thầy cô đã truyền cảmhứng cho tôi phát huy tinh thần học hỏi và chủ động tự học để nâng cao kỹ năng,kiến thức cho bản thân

Tôi xin trân trọng cảm ơn ban lãnh đạo Tổng công ty Mạng lưới Viettel cùngcác anh chị phòng Kỹ Thuật Nghiệp vụ của Tổng công ty đã đại diện đứng ra tổchức lớp học cho các cán bộ nhân viên của trong tổng công ty Để mọi người cóthể vừa làm việc vừa trao đổi, vận dụng các kiến thức được học vào thực tế đượchiệu quả hơn

Đặc biệt, tôi cảm ơn sâu sắc đến PGS.TS Phan Xuân Hiếu đã chỉ bảo cho tôitrong suốt quá trình học tập và làm luận văn, giúp tôi có thêm quyết tâm đểnghiên cứu và hoàn thiện bản luận văn của mình

Tôi xin gửi lời cảm ơn đến các bạn trong lớp Cao học Hệ thống Thông tinK24CNTT đã giúp đỡ, động viên, khích lệ tôi trong suốt thời gian học tập

Tôi xin được gửi lời cảm ơn tới gia đình đã động viên, giúp đỡ tôi trong quátrình hoàn thành luận văn

Với lượng kiến thức và kinh nghiệm còn ít nên luận văn không tránh khỏinhững thiếu sót Tôi xin trân trọng tiếp thu các ý kiến của các thầy, cô, bạn bè đểluận văn được hoàn thiện

Trân trọng cám ơn.

LỜI CẢM ƠN 1

MỤC LỤC 2

DANH MỤC CÁC KÝ HIỆU VÀ CHỮ VIẾT TẮT 4

DANH MỤC CÁC HÌNH VẼ, ĐỒ THỊ 5

MỞ ĐẦU 6

CHƯƠNG 1 KHUNG QUẢN LÝ DỮ LIỆU 9

1.1 Khái niệm chung về quản lý dữ liệu 9

1.1.1 Định nghĩa thông tin và dữ liệu 9

1.1.2 Quản lý dữ liệu 10

1.1.3 Quản trị dữ liệu 11

1.1.4 Phân biệt quản lý và quản trị dữ liệu 12

1.1.5 Lợi ích và tầm quan trọng của quản lý dữ liệu 13

1.1.6 Nguyên tắc quản lý dữ liệu 14

1.1.7 Các lĩnh vực trọng tâm chính cần được đề cập trong quản lý dữ liệu 15 1.1.8 Các bước cơ bản để thực hiện quản lý dữ liệu 16

1.2 Khung quản lý dữ liệu 18

1.3 Khung quản lý dữ liệu viễn thông cho TCT mạng lưới VIettel 22

CHƯƠNG 2 QUẢN LÝ ATTT TRONG DOANH NGHIỆP 27

2.1 ĐỊNH NGHĨA AN TOÀN THÔNG TIN 27

2.2 CÁC PHƯƠNG PHÁP QUẢN LÝ AN TOÀN THÔNG TIN 27

2.2.1 Tiêu chuẩn quản lý an toàn thông tin ISO27001:2013 27

2.2.2 Phương pháp tiếp cận 28

2.2.3 Phương pháp quản lý rủi ro 228

2.3 KHUNG QUẢN LÝ AN TOÀN THÔNG TIN 32

CHƯƠNG 3 GIẢI PHÁP NÂNG CAO NĂNG LỰC QUẢN LÝ AN TOÀN THÔNG TIN DỮ LIỆU VIỄN THÔNG 37

3.1 Phương pháp quản lý rủi ro 37

Nguyên lý quản lý rủi ro cho tổ chức 38

Mô hình tổ chức và phương pháp quản lý rủi ro 39

Quy trình quản lý rủi ro 41

dựng kế hoạch xử lý rủi ro 43

3.2 Quản lý an toàn vận hành 46

3.3 Quản lý tính liền mạch, liên tục kinh doanh 47

KẾT LUẬN 49

TÀI LIỆU THAM KHẢO 51

PHỤ LỤC 1 Danh sách các điểm yếu, đe dọa dùng để phân tích rủi ro an toàn dữ liệu viễn thông 53

PHỤ LỤC 2: Checklist khảo sát đánh giá rủi ro cho dữ liệu viễn thông 58

PHỤ LỤC 3 Ma trận đánh giá rủi ro 87

PHỤ LỤC 4 Danh sách phân tích rủi ro cho dữ liệu viễn thông 90

STT Ký hiệu/ Ý nghĩa

CFhữ viết tắt

2 BCP Kế hoạch đảm bảo tính liên tục kinh doanh – Business

Contuinity Plan

4 DAMA Hiệp hội quản lý dữ liệu quốc tế

5 DG Data Governance – Quản trị dữ liệu

6 DGI Data Governance Institute - Viện quản trị dữ liệu

8 ISMS Hệ thống quản lý an toàn thông tin – Information

Security Management System

2.2 Hình 2.3 Hình 2.3 Mô hình PDCA ISO270012.3 Hình 2.4 Hình 2.4 Các lĩnh vực chính ATTT3.1 Hình 3.1 Hình 3.1 Tháp quản lý rủi ro của tổ chức

viễn thông3.1 Hình 3.2 Hình 3.2 Mô hình kiểm soát rủi ro dữ liệu

viễn thông 3 lớp3.1 Hình 3.3 Hình 3.3 Quy trình quản lý rủi ro3.1 Hình 3.4 Hình 3.4 Quy trình đánh giá rủi ro3.1 Hình 3.5 Hình 3.5 Quy trình xử lý rủi ro3.1 Hình 3.6 Hình 3.6 Bảng đánh giá rủi ro dữ liệu viễn

thông3.1 Hình 3.7 Hình 3.7 Công cụ quản lý rủi ro dữ liệu viễn

thông3.2 Hình 3.8 Hình 3.8 Khung quy trình vận hành khai

thác hệ thống thông tin viễn thông3.3 Hình 3.9 Hình 3.9 Kế hoạch đảm bảo tính liên tục cho

hệ thống viễn thông

Ngày nay dữ liệu được coi là tài sản quan trọng, việc quản lý dữ liệu cũng nhưđảm bảo an toàn thông tin cho dữ liệu là nhu cầu sống còn của đơn vị Kết quảphân tích dữ liệu đóng vai trò then chốt cho các quyết định của ban lãnh đạo, đểtăng tính tin cậy của kết quả phân tích dữ liệu thì yêu cầu bắt buộc đơn vị phải

có phương pháp quản lý dữ liệu cho đơn vị mình hiệu quả và đảm bảo chấtlượng [3]

Việc thu thập, khai thác và sử dụng dữ liệu một cách hiệu quả là một trong nhữngyếu tố quan trọng, quyết định sự phát triển của tổ chức Tổ chức không thể khaithác được dữ liệu nếu không biết rõ giá trị của dữ liệu mình đang sở hữu: dữ liệu ởđâu, làm thế nào để sử dụng, dữ liệu được tích hợp với các ứng dụng nào, ở đâu,thời gian nào, v.v Chất lượng dữ liệu kém có thể dẫn tới gia tăng rủi ro hoạt động,chiến lược, ảnh hưởng đến việc hỗ trợ ra quyết định, các hoạt động và kế hoạchhàng ngày từ lãnh đạo đơn vị do đó sẽ ảnh hưởng tới hoạt động, sự phát triển bềnvững của tổ chức Chất lượng dữ liệu và khai thác dữ liệu hiệu quả nhưng cần điđôi việc đảm bảo An toàn thông tin (ATTT) cho dữ liệu [1] ,[3]

Quản lý dữ liệu là sự kết hợp giữa con người, quy trình và kỹ thuật cho phépmột tổ chức có thể tối ưu hóa, bảo vệ và sử dụng các nguồn dữ liệu (cấu trúc vàphi cấu trúc) một cách hiệu quả như một tài sản của doanh nghiệp

Khung quản lý dữ liệu gồm có các hợp phần về: Quản trị dữ liệu, cấu trúc dữliệu, mô hình và thiết kế dữ liệu, lưu trữ và vận hành dữ liệu, an toàn dữ liệu,tích hợp dữ liệu, quản lý văn bản và nội dung, công cụ báo cáo quản trị, siêu dữliệu (metadata) và chất lượng dữ liệu [3]

Sau khi nhận thấy được tầm quan trọng trong việc quản lý dữ liệu, đánh giá khảosát hiện trạng tổ chức gặp phải nhiều vấn đề trong việc quản lý dữ liệu như quản lý

dữ liệu phân tán, không tập trung Với mỗi dữ án liên quan đến dữ liệu thì thời gian

để thu thập, làm sạch dữ liệu tốn đa số thời gian của dự án.Việc quản lý an toànthông tin dữ liệu trong tổ chức chưa được triển khai theo phương pháp tổng thể.Khi lãnh đạo thấy vấn đề, sự cố phát sinh hay có vấn đề nổi cộm lên thì chỉ đạodồn nguồn lực vào xử lý, mà không có biện pháp quản lý tổng thể Hoạt động vậnhành trong tổ chức ưu tiên vấn đề “chữa cháy” hơn là việc ưu tiên “phòng cháy”.Nguồn lực nhân sự vận hành trong tổ chức dồn sự tập trung vào việc xử lý vụ việc,

sự cố, vấn đề hơn là ưu tiên việc đưa ra phương pháp quản lý tổng thể, quản lý rủi

ro để dần dần giảm vấn đề sự vụ và cải tiến liên tục hệ thống Các

công việc mang tính bị động, xảy ra thì xử lý Ngoài ra, tổ chức hoạt động trên lĩnhvực viễn thông, các hệ thống lõi cần đảm bảo tính sẵn sàng liên tục cao, tuy nhiêncác phương án dự phòng, đảm bảo tính liền mạch, ứng cứu khi xảy ra gián đoạnchưa có tính chủ động hoặc chưa được thử nghiệm định kỳ các phương án.

Song song với các vấn đề thực tại trên của tổ chức thì trên thế giới, các giảipháp về quản lý dữ liệu và an ninh dữ liệu luôn được cập nhật các phương phápgiải pháp mới như ISO27001:2013, ISO31000:2018

Từ các vấn đề trên, luận văn thực hiện nghiên cứu về:

NGHIÊN CỨU XÂY DỰNG KHUNG QUẢN TRỊ DỮ LIỆU CHO VIỆC QUẢN LÝ DỮ LIỆU CỦA TỔNG CÔNG TY MẠNG LƯỚI VIETTEL.

Mục đích nghiên cứu: Mục đích luận văn nghiên cứu để đưa ra cách thức và

phương pháp quản lý để giải quyết được các vấn đề bất cập trên của tổ chức.Xây dựng khung quản lý dữ liệu cho dữ liệu viễn thông Các hợp phần quantrọng tổ chức cần thực hiện quản lý khi muốn tăng chất lượng dữ liệu và khảnăng tin cậy dữ liệu bao gồm: quản trị, thu thập/ lưu trữ, chất lượng, truy cập vàcung cấp, phân tích, an ninh dữ liệu

Tuy nhiên, thời gian nghiên cứu, triển khai còn hạn hẹp, luận văn chưa đủ thờigian để nghiên cứu triển khai hết tất cả các hợp phần trên Nên trong phạm viluận văn này em xin phép được tập trung nghiên cứu sâu và xây dựng và triểnkhai các giải pháp về một trong các hợp phần trong khung quản lý là phần quản

lý an toàn thông tin Tập trung đề xuất các giải pháp để nâng cao năng lực antoàn thông tin cho dữ liệu viễn thông

Mục đích của việc triển khai các giải pháp quản lý an toàn thông tin toàn diện cho

dữ liệu viễn thông nhằm đảm bảo cho các hệ thống công nghệ thông tin, viễn thôngtrong tổng công ty đạt các yêu cầu về an toàn, bảo mật Các thông tin sẽ được quản

lý đảm bảo tính bí mật, toàn vẹn, xác thực và sẵn sàng Đồng thời nâng cao tínhliên tục không bị gián đoạn giúp hệ thống thông tin được vận hành liên tục, chốnglại các sự cố an toàn thông tin, các cuộc tấn công từ nội bộ hoặc từ bên ngoài Qua

đó sẽ nâng cao mức độ tin cậy đối với các đối tác và khách hàng khi làm việc tạiđơn vị Bên cạnh việc tăng cường hoạt động, quản lý, phòng ngừa, phát hiện sớmcác điểm rủi ro để có hành động xử lý sớm sẽ giảm khả năng rủi ro xuất hiện Qua

đó giảm tỷ lệ sự cố phát sinh cần xử lý hàng ngày

Sau khi nghiên cứu triển khai, áp dụng thực tế các giải pháp đưa ra trong luậnvăn vào các hoạt động đơn vị Giúp đơn vị thấy được khung quản lý dữ liệu đầy

đủ, các hợp phần đơn vị cần thiết cho việc quản lý đặc thù cho dữ liệu viễnthông Trong các hợp phần của khung quản lý dữ liệu, luận văn tập trung nghiêncứu sâu về khung quản lý an toàn thông tin Nghiên cứu xây dựng các giải pháp

an toàn thông tin phù hợp cho đơn vị sau khi khảo sát nắm được các điểm mạnh,điểm chưa tốt trong hoạt động quản lý an toàn Những điểm mạnh tổ chức đãthực hiện triển khai trước đó sẽ được duy trì Và luận văn tập trung triển khaivào ba giải pháp chính mà trước đó đơn vị chưa có hoặc triển khai đưa đầy đủhiện quả đó là: hoạt động liên quan tới quản lý rủi ro, quản lý công tác vận hànhkhai thác và cac hoạt động nhằm nâng cao tính liên tục các hệ thống công nghệthông tin và viễn thông

Phương pháp nghiên cứu: Nghiên cứu phương pháp về quản lý dữ liệu Khảo

sát, đánh giá hiện trạng hệ thống và cách thức quản lý hiện tại của đơn vị để đềxuất khung quản lý dữ liệu cho viễn thông Sau đó đi vào nghiên cứu sâu cácgiải pháp cho mảng quản lý an tòan thông tin dữ liệu Triển khai các phươngpháp quản lý vào thực tế trong đơn vị để nâng cao năng lực quản lý an toànthông tin cho dữ liệu viễn thông

Phương pháp thực nghiệm: Xây dựng hệ thống văn bản, tài liệu, công cụ quản

lý và đưa vào triển khai áp dụng trong thực tế

Luận văn sẽ được cấu trúc với ba chương Chương 1 Khung quản lý dữ liệu đưa rakhái niệm chung về quản trị, quản lý dữ liệu Mô tả các thành phần chính trongkhung quản lý dữ liệu chung Sau khi khảo sát hoạt động đơn vị thì đưa ra khungquản lý dữ liệu cho dữ liệu viễn thông Các vấn đề, vướng mắc hay gặp phải trongviệc quản lý dữ liệu Chương hai bắt đầu đi sâu hơn vào trong một những hợp

phần quan trọng nhất trong việc quản lý dữ liệu và quản lý an toàn thông tin.Đưa ra các khái niệm chính về an toàn thông tin dữ liệu Đưa ra các phươngpháp trong việc quản lý an toàn thông tin, mô tả chi tiết các hợp phần cần thựchiện khi thiết lập hệ thống quản lý an toàn thông tin tại đơn vị Sau khi nghiêncứu phương pháp và đưa ra các phần chính cần thực hiện khi quản lý an toànthông tin, dựa vào kết quả khảo sát tại đơn vị, luận văn tập trung đưa ra các giảipháp chính mà chưa được xây dựng, triển khai tại đơn vị hoặc việc triển khai tạiđơn vị chưa được đầy đủ, hiệu quả Các giải pháp chi tiết này sẽ được đưa ra tạichương ba và đánh giá kết quả triển khai.

CHƯƠNG 1 KHUNG QUẢN LÝ DỮ LIỆU

1.1 KHÁI NIỆM CHUNG VỀ QUẢN LÝ DỮ LIỆU

1.1.1 Định nghĩa thông tin và dữ liệu

Ngày nay, nhiều tổ chức nhận ra rằng dữ liệu là tài sản vô cùng quan trọng củadoanh nghiệp Dữ liệu và thông tin có thể cung cấp cái nhìn sâu sắc về kháchhàng, sản phẩm và dịch vụ của họ qua đó giúp doanh nghiệp đổi mới và đạtđược mục tiêu chiến lược [1], [3]

Mặc dù thừa nhận là vậy nhưng rất ít tổ chức chủ động quản lý dữ liệu như mộttài sản để khai thác giá trị liên tục từ dữ liệu của mình Giá trị mang lại từ dữliệu không phải một cách ngẫu nhiên mà nó là cả một quá trình xây dựng mụctiêu, chiến lược, kế hoạch, điều phối và có sự cam kết Đòi hỏi cả việc quản trị

và lãnh đạo

Dữ liệu và thông tin không chỉ là tài sản của tổ chức mà tổ chức cần đầu tư vàoviệc quản trị dữ liệu, thông tin để có thể thu lợi trong tương lai Dữ liệu vàthông tin quan trọng thiết yếu đối với các tổ chức trong các hoạt động hàngngày, được coi như “dòng máu của cuộc sống”, thậm chí là “dầu mỏ mới” củanền kinh tế thông tin Do đó tổ chức phải quản trị nguồn dữ liệu để qua đó tăngkhả năng ra các quyết định đúng căn cứ trên kết quả phân tích dữ liệu [3], [9]

Dữ liệu được hiểu là thông tin được lưu trữ dưới dạng số (mặc dù dữ liệukhông giới hạn thông tin được số hóa hay được quản lý trên giấy hay trong các

cơ sở dữ liệu) Tuy nhiên, do ngày nay chúng ta có thể nắm bắt được rất nhiềuthông tin điện tử, chúng ta gọi nhiều thứ là “dữ liệu”, những thứ mà trước đókhông được coi là dữ liệu như: tên, địa chỉ, ngày sinh, những gì mọi người ăntrong bữa tối thứ bảy, cuốn sách hay được mua nhiều nhất [3], [9]

Những sự kiện về hành vi con người được tổng hợp, phân tích và sử dụng đểtạo ra lợi nhuận, cải thiện sức khỏe hoặc ảnh hưởng đến chính sách công.

Thực tế tốn nhiều giấy mực để định nghĩa mối quan hệ giữa dữ liệu và thông tin

Dữ liệu được gọi “Nguyên liệu của thông tin – Raw material of information” vàthông tin được gọi là “Dữ liệu trong một bối cảnh – Data in context”

Hình 1.1 biểu diễn tháp dữ liệu từ đáy tới đỉnh lần lượt sẽ là “Dữ liệu, Thông tin,Kiến thức và trên cùng là Trí tuệ - Data, Information, Knowledge and Wisdom)1

Tuy nhiên trong việc quản lý dữ liệu cho tổ chức còn tồn tại rất nhiều thách thứcnhư dữ liệu được giả định đơn giản chỉ là tồn tại Nhưng dữ liệu không chỉ tồn tại,

dữ liệu được tạo ra Dữ liệu và thông tin là hai khái niệm đan xen và phụ thuộc vớinhau Dữ liệu là một dạng của thông tin và thông tin là một dạng của dữ liệu

Cả dữ liệu và thông tin đều cần phải được quản lý để đảm bảo có được chấtlượng cao nâng cao tính tin cậy trong các kết quả phân tích dữ liệu

1.1.2 Quản lý dữ liệu

Quản lý dữ liệu là sự phát triển, thực hiện và giám sát các kế hoạch, chính sách,chương trình và thực hành cung cấp, kiểm soát, bảo vệ và nâng cao giá trị của

dữ liệu và tài sản thông tin trong suốt vòng đời của họ

Quản lý dữ liệu chuyên nghiệp là bất kỳ người nào làm việc trong bất kỳ khía cạnhcủa quản lý dữ liệu (từ quản lý kỹ thuật của dữ liệu trong suốt vòng đời của nó đểđảm bảo rằng dữ liệu được sử dụng đúng cách) để đáp ứng mục tiêu chiến

1https://en.wikipedia.org/wiki/DIKW_pyramid

lược của tổ chức Các chuyên gia quản lý dữ liệu đảm nhận nhiều vai trò, từ kỹthuật (ví dụ, các quản trị cơ sở dữ liệu, quản trị mạng, lập trình viên) đến kinhdoanh chiến lược (ví dụ, nhà chiến lược dữ liệu, cán bộ quản lý dữ liệu).

Hoạt động quản lý dữ liệu trên phạm vi rộng bao gồm mọi thứ, từ khả năng đưa

ra quyết định phù hợp về cách để có được giá trị chiến lược từ dữ liệu, để việctriển khai kỹ thuật và hiệu suất của cơ sở dữ liệu Do đó quản lý dữ liệu đòi hỏi

cả hai kỹ năng kỹ thuật và phi kỹ thuật Trách nhiệm quản lý dữ liệu phải đượcchia sẻ giữa các vai trò các bộ phận nghiệp vụ và bộ phận công nghệ thông tin

để đảm bảo một tổ chức có dữ liệu chất lượng cao đáp ứng nhu cầu chiến lượccủa mình

1.1.3 Quản trị dữ liệu

Quản trị dữ liệu là một khái niệm của quản lý dữ liệu liên quan đến khả năngcho phép một cơ quan, tổ chức bảo đảm rẳng chất lượng dữ liệu cao tồn tạitrong suốt vòng đời hoàn chỉnh của dữ liệu Các lĩnh vực trọng tâm của quản trị

dữ liệu bao gồm tính khả dụng, khả năng sử dụng, tính nhất quán, tính toàn vẹn

dữ liệu, bảo mật dữ liệu, thiết lập các quy trình để bảo đảm quản lý dữ liệu hiệuquả trong toàn bộ cơ quan, tổ chức Người quản lý dữ liệu đóng vai trò bảo đảmcác quy trình quản trị dữ liệu được tuân thủ, các hướng dẫn được thi hành vàkhuyến nghị cải tiến các quy trình quản trị dữ liệu [10]

Quản trị dữ liệu là tập hợp các quy trình, vai trò, chính sách, tiêu chuẩn và số liệubảo đảm việc sử dụng thông tin hiệu lực và hiệu quả trong việc cho phép một tổchức đạt được mục tiêu của mình Nó thiết lập các quy trình và trách nhiệm bảođảm chất lượng và bảo mật của dữ liệu được sử dụng trên toàn doanh nghiệp hoặc

tổ chức Quản trị dữ liệu xác định ai có thể thực hiện hành động nào, dựa trên dữliệu nào, trong tình huống nào, sử dụng phương pháp nào [10], [11]

Quản trị dữ liệu xác định các quy tắc, ảnh hưởng và quy định cho dữ liệu đểthiết lập xây dựng chính sách Các quy tắc và chính sách này thiết lập quyềnquyết định cũng như các biện pháp kiểm soát đảm bảo an ninh, trách nhiệm và

sự tin cậy Quản trị không phải là hoạt động giám sát hàng ngày, mà là nền tảngvững chắc cho một hệ thống quản lý dữ liệu khả thi2

Quản trị dữ liệu có thể được định nghĩa là một cách tiếp cận có tổ chức để quản

lý dữ liệu và thông tin được chính thức hóa thành một tập hợp các chính sách và

2http://aita.gov.vn/quan-tri-du-lieu-yeu-cau-can-thiet-trong-xay-dung-co-so-du-lieu

quy trình bao gồm toàn bộ vòng đời của dữ liệu, từ thu thập đến sử dụng, xử lý.Các bước chính để tạo ra một chương trình quản trị dữ liệu mạnh mẽ bao gồm:Xác định thẩm quyền ra quyết định mang tính tổ chức; xác định các tiêu chuẩn,chính sách dữ liệu và thủ tục để hướng dẫn các quy trình quản lý dữ liệu khácnhau, bao gồm an ninh dữ liệu và bảo vệ quyền riêng tư, kiểm soát chất lượng

dữ liệu và các hoạt động phổ biến dữ liệu; thực thi các chính sách và thủ tục saukhi xây dựng; giám sát việc tuân thủ các tiêu chuẩn, chính sách và thủ tục đãđược thiết lập

Một chương trình quản trị dữ liệu bao gồm: Bảo vệ dữ liệu nhạy cảm; đánh giá

lỗ hổng và quản lý rủi ro; thực thi các yêu cầu tuân thủ pháp luật, quy định, hợpđồng; xác định các bên liên quan cùng với các vai trò và trách nhiệm của họ vàquản lý truy cập

Quản trị dữ liệu (Data Governance- DG) được định nghĩa là việc thực hiện cácquyền và kiểm soát (hoạch định, giám sát và thực thi) trong việc quản lý dữ liệu.Tất cả các tổ chức đưa ra quyết định dựa trên dữ liệu, bất kể họ có chức năng quảntrị dữ liệu chính thức hay không Do vậy việc thiết lập mô hình quản lý dữ liệutrong tổ chức sẽ giúp cho tổ chức khai thác được tốt hơn, làm tăng lợi nhuận đemlại từ dữ liệu cho tổ chức đó Mục đích của quản trị dữ liệu là đảm bảo dữ liệuđược quản lý đúng cách, theo các chính sách và thông lệ tốt nhất về quản lý dữliệu Nếu như quá trình quản lý dữ liệu là để đảm bảo tổ chức khai thác được giá trị

từ các nguồn dữ liệu của mình thì việc quản trị dữ liệu tập trung vào làm thế nào đểđưa ra quyết định dựa trên dữ liệu Quản trị dữ liệu tập trung vào các phạm vi:Chiến lược; Chính sách; Tiêu chuẩn và chất lượng; Giám sát; Tuân thủ; Quản lývấn đề; Các dự án quản lý dữ liệu; Định giá tài sản dữ liệu.3

1.1.4 Phân biệt quản lý và quản trị dữ liệu

Quản trị dữ liệu thường bị nhầm lẫn với các thuật ngữ và khái niệm liên quankhác, bao gồm quản lý dữ liệu Quản lý dữ liệu đề cập đến việc quản lý các nhucầu vòng đời dữ liệu đầy đủ của một tổ chức Quản trị dữ liệu là thành phần cốtlõi của quản lý dữ liệu, liên kết các lĩnh vực khác như chất lượng dữ liệu, quản

lý dữ liệu tham chiếu và dữ liệu gốc, bảo mật dữ liệu, hoạt động cơ sở dữ liệu,quản lý siêu dữ liệu và lưu trữ dữ liệu [3], [12], [13]

3https://en.wikipedia.org/wiki/DIKW_pyramid

Từ điển quản lý dữ liệu định nghĩa quản trị dữ liệu là việc thực thi quyền lực,kiểm soát và ra quyết định chung (lập kế hoạch, giám sát và thi hành) đối vớiviệc quản lý tài sản dữ liệu Các sáng kiến quản trị dữ liệu cung cấp nền tảng đểphát triển các giao thức và thủ tục quản lý dữ liệu phù hợp.

Mặt khác, quản lý dữ liệu là quá trình đưa các chính sách quản trị vào hoạtđộng Quản trị cung cấp một khuôn khổ; sau đó, cơ quan, tổ chức có thể xácđịnh các khu vực để quản lý (như bảo mật, cơ sở dữ liệu và kiểm soát tài liệu)

và quản lý cơ sở hạ tầng hoặc kiến trúc “Quản trị” thiết lập lý do tại sao và aicho khả năng truy cập và kiểm soát dữ liệu, trong khi “Quản lý” thiết lập nơitruy cập và cách thức truy cập [3], [19]

1.1.5 Lợi ích và tầm quan trọng của quản lý dữ liệu

Quản lý dữ liệu quan trọng bởi vì quản lý dữ liệu chủ động là cần thiết để bảođảm tính bảo mật, tính toàn vẹn, khả năng truy cập, tính sẵn có và chất lượngcủa dữ liệu Thiết lập quản lý dữ liệu là một nhiệm vụ quan trọng đối với bất kỳ

tổ chức nào Nó đòi hỏi xác định tầm nhìn tổ chức, chính sách và thực tiễn;giành được sự ủng hộ của các bên liên quan; thực hiện chương trình; và theo dõi

sự thành công của nó Bằng cách phác thảo rõ ràng các chính sách, thủ tụcchuẩn, trách nhiệm và kiểm soát các hoạt động dữ liệu xung quanh, chươngtrình quản lý dữ liệu giúp bảo đảm thông tin được thu thập, duy trì, sử dụng vàphổ biến theo cách bảo vệ quyền riêng tư, bảo mật và an ninh của cá nhân, trongkhi tạo ra dữ liệu thống kê kịp thời và chính xác [1], [3]

Quản lý dữ liệu là một yếu tố quan trọng để quản lý thành công các hệ thống dữliệu phức tạp Nó cho phép các tổ chức giải quyết hiệu quả hơn các thách thức liênquan đến chia sẻ dữ liệu, thay đổi theo thời gian và đáp ứng nhu cầu của các nhómbên liên quan khác nhau trong và ngoài cơ quan Những lợi ích của cách tiếp cậnchủ động đối với quản trị dữ liệu bao gồm: Cải thiện độ chính xác của dữ liệu, đạtđược bằng cách lập lịch kiểm toán chất lượng dữ liệu thường xuyên và sử dụng cáctiêu chuẩn dữ liệu nhất quán trong việc đặt tên biến và phân loại siêu dữ liệu Cảithiện khả năng sử dụng dữ liệu, xuất phát từ việc giám sát nội dung dữ liệu về tínhnhất quán với tầm nhìn của tổ chức và nhu cầu của các bên liên quan Cải thiệntính kịp thời của dữ liệu, được thực hiện bằng cách tránh trùng lặp các nỗ lực thuthập dữ liệu không cần thiết và giảm công việc cần thiết để đối chiếu các lỗi hoặcsai lệch khi hợp nhất hoặc chia sẻ dữ liệu Tăng cường an ninh dữ liệu, có đượcbằng cách thiết kế một kế hoạch an ninh toàn diện và áp dụng các mức bảo vệ phùhợp cho dữ liệu dựa trên mức độ nhạy cảm của chúng

Chức năng của quản trị dữ liệu bao gồm việc thực thi thẩm quyền, kiểm soát và

ra quyết định chung (lập kế hoạch, giám sát và thực thi) đối với việc quản lý tàisản dữ liệu Quản trị dữ liệu đóng vai trò rất quan trọng trong việc đạt được chấtlượng dữ liệu cao Quản trị dữ liệu tạo ra một cấu trúc có tổ chức nhằm pháttriển và thực thi các chính sách, quy tắc, quy trình và thủ tục để bảo đảm và cảithiện chất lượng dữ liệu trong một tổ chức [3], [9]

1.1.6 Nguyên tắc quản lý dữ liệu

Mục tiêu của quản lý dữ liệu để cho phép tổ chức quản lý dữ liệu như một tài sản.Quản lý dữ liệu cung cấp các nguyên tắc, chính sách, quy trình, khung, ma trận sốliệu và giám sát để quản lý dữ liệu như một tài sản và hướng dẫn các hoạt độngquản lý dữ liệu ở tất cả các mức độ Để đạt được mục tiêu tổng thể này, quản lý dữliệu cần phải đạt được tính bền vững tức là quản lý dữ liệu cần phải được ưu tiên,

nó không phải là một dự án có thời gian kết thúc, nó là một quá trình liên tục, đòihỏi phải kiên trì thực hiện lâu dài, thường xuyên và liên tục cải tiến trong tổ chức.Bên cạnh đó, quản lý dữ liệu cần tích hợp vào trong các hoạt động quản lý của đơn

vị Các hoạt động quản lý dữ liệu cần được đưa vào trong phương pháp phát triểnphần mềm, sử dụng dữ liệu để phân tích, quản lý dữ liệu master và quản lý rủi ro.Quản lý dữ liệu cần đảm bảo đo lường được Quản lý dữ liệu làm tốt sẽ có tác độngtốt tới tài chính tổ chức, nhưng chứng minh được tác động này cần có sự hiểu biếtthời gian, điểm bắt đầu và lập kế hoạch để cải thiện [3], [12]

Việc triển khai chương trình quản lý dữ liệu yêu cầu cần có sự cam kết trongtoàn tổ chức từ cấp lãnh đạo cao nhất của đơn vị Có sự cam kết triển khai từcác cấp lãnh đạo, từ đó đưa vào các hoạt động chiến lược, định hướng kinhdoanh Và chia sẻ trách nhiệm, có ma trận phân tách trách nhiệm rõ ràng giữacác đơn vị trong tổ chức về hoạt động quản lý dữ liệu Quản lý dữ liệu cần dựatrên khung và có nguyên tắc quản lý cụ thể

Nguyên tắc quản lý dữ liệu cần đảm bảo tính toàn vẹn những người tham gia quản

lý dữ liệu sẽ thực hiện toàn vẹn các giao dịch của họ Tiếp theo là tính minh bạchquy trình quản lý dữ liệu và quản lý dữ liệu sẽ thể hiện tính minh bạch; cần phải rõràng cho tất cả những người tham gia và kiểm toán viên về cách thức và thời điểmcác quyết định và kiểm soát liên quan đến dữ liệu được đưa vào các quy trình Cókhả năng đánh giá được các quyết định, quy trình và kiểm soát liên quan đến quản

lý dữ liệu sẽ có thể kiểm toán được; chúng sẽ được kèm theo tài liệu để hỗ trợ cácyêu cầu kiểm toán dựa trên hoạt động và tuân thủ Quản lý dữ liệu sẽ xác địnhtrách nhiệm cho các quyết định, quy trình và kiểm soát liên quan đến dữ

liệu chức năng chéo Quản lý dữ liệu sẽ xác định trách nhiệm đối với các hoạt độngquản lý là trách nhiệm của từng người đóng góp, cũng như trách nhiệm đối với cácnhóm quản lý dữ liệu Quản lý dữ liệu sẽ xác định trách nhiệm theo cách giới thiệukiểm tra và cân bằng giữa các nhóm kinh doanh và công nghệ cũng như giữanhững người tạo/thu thập thông tin, những người quản lý nó, những người sử dụng

nó và những người giới thiệu các tiêu chuẩn và yêu cầu tuân thủ Quản lý dữ liệu

sẽ hỗ trợ tốt chuẩn hóa dữ liệu doanh nghiệp Cuối cùng, quản lý dữ liệu sẽ hỗ trợcác hoạt động quản lý thay đổi chủ động và phản ứng cho các giá trị dữ liệu thamchiếu và cấu trúc/ sử dụng dữ liệu gốc và siêu dữ liệu [10]

1.1.7 Các lĩnh vực trọng tâm chính cần được đề cập trong quản lý dữ liệu

An ninh dữ liệu và quản lý rủi ro: Bảo đảm an ninh cho dữ liệu nhạy cảm (dữ

liệu có nguy cơ bị tổn hại do tiết lộ trái phép hoặc vô ý) và thông tin nhận dạng

cá nhân bằng cách bảo vệ chống lại rủi ro tiết lộ trái phép là ưu tiên hàng đầuđối với chương trình quản lý dữ liệu hiệu quả Mục tiêu này đạt được bằng cáchthiết lập một kế hoạch quản lý an ninh dữ liệu toàn diện với hệ thống kiểm tra

và kiểm soát để giảm thiểu rủi ro an ninh dữ liệu Các chính sách và hướng dẫnphải xác định các quy tắc cho việc sử dụng cá nhân và sử dụng liên quan đếncông việc đối với tất cả hệ thống máy tính và dữ liệu của tổ chức, bao gồm cácthủ tục sử dụng dữ liệu, đánh giá rủi ro dữ liệu để xác định lỗ hổng và xử lý các

vi phạm an ninh dữ liệu và giải thích cách giám sát việc tuân thủ các chính sáchnày Điều quan trọng là phải tiến hành đào tạo nhân viên và kiểm toán thườngxuyên để bảo đảm tuân thủ các chính sách và thủ tục của tổ chức Kế hoạch bảomật và an ninh dữ liệu nên được xem xét và sửa đổi thường xuyên để cập nhậtcác mối đe dọa mới nhất [13]

Kiểm kê dữ liệu và quản lý nội dung dữ liệu: Duy trì kiểm kê cập nhật đầy đủ tất

cả các bản ghi và hệ thống dữ liệu bao gồm cả dữ liệu được sử dụng để lưu trữ và

xử lý dữ liệu, cho phép tổ chức nhắm mục tiêu an ninh dữ liệu và quản lý quyềnriêng tư để bảo vệ dữ liệu nhạy cảm Bản kiểm kê dữ liệu cần chỉ định những phần

tử dữ liệu nào được thu thập, cung cấp lý do cho việc thu thập chúng và giải thíchcác mục đích dự định cho việc sử dụng chúng Một tổ chức nên thường xuyên xemxét việc kiểm kê của mình và sửa đổi các chính sách quản lý dữ liệu để bảo đảmrằng chỉ những dữ liệu cần thiết để đáp ứng bộ chính sách, hoạt động và nhu cầunghiên cứu chính đáng mới được thu thập và duy trì Tất cả các phần tử dữ liệu nênđược phân loại theo mức độ nhạy cảm của chúng (ví dụ: bằng cách đánh giá rủi rotiết lộ thông tin nhận dạng cá nhân; khả năng gây ảnh hưởng xấu cho cá nhân, nếu

dữ liệu bị xâm phạm; yêu cầu pháp lý để bảo vệ dữ

liệu, v.v.) bảo đảm phù hợp với những nỗ lực an ninh được áp dụng để bảo vệ

dữ liệu [3], [11]

Quản lý hồ sơ dữ liệu và truy cập dữ liệu: Bảo đảm tuân thủ các chính sách

an ninh được thực hiện bằng cách chỉ định rõ ràng tất cả các hoạt động liên quan

đến xử lý dữ liệu của người quản lý dữ liệu cũng như người dùng Điều này baogồm nêu rõ ai có thể truy cập dữ liệu nào, cho mục đích gì, truy cập khi nào vàtruy cập như thế nào Một kế hoạch quản trị cần cung cấp hướng dẫn về cáchoạt động dữ liệu người dùng và người quản lý phù hợp để xử lý các bản ghitrong tất cả các giai đoạn của vòng đời dữ liệu bao gồm thu thập, duy trì, sửdụng và lưu trữ hoặc hủy dữ liệu một cách an toàn Ngoài ra, kế hoạch nên xácđịnh các yêu cầu và cơ chế cho việc hủy thông tin nhận dạng cá nhân để bảo vệquyền riêng tư cá nhân (ví dụ: bằng cách xóa tất cả các định danh trực tiếp vàgián tiếp khỏi dữ liệu liên quan đến thông tin nhận dạng cá nhân) [3], [12]

Chất lượng dữ liệu: Xây dựng các phương pháp để ngăn chặn, phát hiện, sửa lỗi và lạm dụng dữ liệu là điều cần thiết để duy trì dữ liệu chất lượng cao Cách

tiếp cận chủ động đối với quản lý dữ liệu đòi hỏi phải thiết lập các tiêu chuẩnchất lượng dữ liệu và giám sát, cập nhật thường xuyên các chiến lược quản lý

dữ liệu để bảo đảm dữ liệu chính xác, phù hợp, kịp thời và hoàn chỉnh cho cácmục đích mà chúng dự định sẽ được sử dụng Một kế hoạch quản lý dữ liệumạnh mẽ nên phác thảo việc sử dụng dữ liệu có thể chấp nhận để cân bằng giữaquyền riêng tư và an ninh với nhu cầu dữ liệu chất lượng cao cần thiết cho cácphân tích thống kê Việc kiểm toán chất lượng định kỳ nên được xây dựng trongtất cả các chu trình quản lý dữ liệu, bao gồm thu thập, báo cáo và phát hành [3]

Chia sẻ dữ liệu và báo cáo: Bảo đảm các hoạt động phổ biến dữ liệu tuân thủ

luật pháp là trách nhiệm chính của cơ quan, tổ chức Việc phát hành hoặc chia

sẻ bất kỳ dữ liệu nào mà không có sự đồng ý bằng văn bản (ví dụ: dưới dạng hồ

sơ cá nhân hoặc báo cáo tổng hợp) phải tuân thủ các chính sách và quy định do

tổ chức thiết lập bao gồm các thủ tục bảo vệ thông tin nhận dạng cá nhân khichia sẻ với các cơ quan khác và thủ tục tránh tiết lộ để bảo vệ thông tin nhậndạng cá nhân không bị tiết lộ trong các báo cáo công khai (Bảo đảm rằng mọithỏa thuận chia sẻ dữ liệu đều được cho phép theo luật và quy định về quyềnriêng tư) Hơn nữa, kế hoạch quản lý dữ liệu nên xác định các thủ tục để thôngbáo cho các bên liên quan thường xuyên về các quyền của họ theo luật và quyđịnh điều chỉnh quyền riêng tư của dữ liệu

1.1.8 Các bước cơ bản để thực hiện quản lý dữ liệu

Thành lập ủy ban quản lý dữ liệu: Trong một hệ thống dữ liệu phức tạp với

nhiều mục đích sử dụng, thiết lập nhiệm vụ, ban hành các chính sách và thủ tục

quản lý dữ liệu được giao cho một ủy ban quản lý dữ liệu Ủy ban này phải có

“chức năng chéo” và bao gồm đại diện bộ phận, tư vấn pháp lý, quản trị viên hệthống dữ liệu, nhà cung cấp dữ liệu, quản lý dữ liệu, chuyên gia an ninh vàquyền riêng tư, người dùng dữ liệu từ khắp tổ chức Các thành viên ủy ban đạidiện cho các văn phòng khác nhau này (ví dụ: các văn phòng liên quan đến việccung cấp hoặc sử dụng dữ liệu) nên được bổ nhiệm bởi các khu vực (hoặc mộtnhóm cá nhân) khác với cơ quan quản lý điều hành

Xác định chính sách và thủ tục quản lý dữ liệu: Ủy ban quản lý dữ liệu phát

triển các chính sách, thủ tục và tiêu chuẩn cho một chương trình bảo vệ dữ liệu vàquyền riêng tư Các chính sách và thủ tục này phải khả thi ở các cấp khác nhautrong cấu trúc quản lý dữ liệu của tổ chức Ủy ban quản trị có trách nhiệm chínhthức hóa các chính sách và thủ tục quản lý dữ liệu bằng văn bản sau khi lấy ý kiếnphản hồi của các bên liên quan và bảo đảm sự hỗ trợ từ lãnh đạo điều hành

Triển khai chương trình quản lý dữ liệu: Các chính sách và quy trình cụ thể

được nêu trong chương trình quản lý dữ liệu được những người quản lý dữ liệutriển khai thông qua việc quản lý dữ liệu liên tục bao gồm thu thập, xử lý, lưutrữ, bảo trì và sử dụng Bất kỳ thay đổi nào đối với chương trình quản trị phảiđược sự chấp thuận của các lãnh đạo có thẩm quyền điều hành, người ban đầuchỉ định các thành viên của Ủy ban quản lý dữ liệu

Theo dõi và báo cáo tiến độ chương trình: Người quản lý dữ liệu có trách nhiệm tích cực theo dõi các hoạt động liên quan đến dữ liệu để bảo đảm tuân

thủ các tiêu chuẩn, chính sách và thủ tục đã được thiết lập Ủy ban quản lý dữliệu nên theo dõi tiến độ thực hiện chương trình với các số liệu chính (ví dụ:thống kê chất lượng dữ liệu) và báo cáo định kỳ về tiến độ cho nhóm lãnh đạo

và các bên liên quan khác

1.2 KHUNG QUẢN LÝ DỮ LIỆU

Khung quản lý dữ liệu đang đặt quản trị dữ liệu ở vị trí trung tâm, vì quản trị làcần thiết cho sự nhất quán và cân bằng giữa các chứ năng Tất cả các thành phầntrong khung quản lý dữ liệu đều là cần thiết cho tổ chức trong việc quản lýthông tin, tuy nhiên chúng có thể sẽ được triển khai tại các thời điểm khác nhauphụ thuộc vào mức độ ưu tiên và yêu cầu của tổ chức [3]

Quản trị dữ liệu là lập kế hoạch, triển khai, giám sát toàn bộ hoạt động, các quytrình, chức năng có trong quản lý dữ liệu, kiểm soát hệ thống Quản lý dữ liệu(Data Management) DAMA đã đặt Quản trị dữ liệu vào trung tâm cửa khungquản lý dữ liệu, vì quản trị dữ liệu đóng vai trò như “trái tim”, thành phần cốtlõi, ổn định, cân bằng giữa tất cả các chức năng trong Quản lý dữ liệu [3], [19]

Hình 1.2 Khung quản lý dữ liệuTheo hiệp hội quản lý dữ liệu quốc tế (Data management Association- DAMA),khung quản lý dữ liệu bao gồm các lĩnh vực sau [3], [19]:

Quản lý kiến trúc dữ liệu (Data Architechture) là thành phần thứ hai trong

khung quản lý dữ liệu, sau thành phần trung tâm là quản trị dữ liệu đã được giớithiệu trong nội dung trước

Quản lý kiến trúc dữ liệu liên quan đến các việc: xác định nhu cầu, tiến hành thiết

kế, duy trì và phát triển hệ thống kiến trúc dữ liệu bao gồm các mô hình, chính

sách, quy tắc hoặc tiêu chuẩn tác động đến các cách thức dữ liệu được thu thập,lưu trữ, sắp xếp, tích hợp và đưa vào phân tích, sử dụng.

Quản lý kiến trúc dữ liệu là quá trình xây dựng các yêu cầu trung về quản lý dữliệu cho tổ chức Giúp cung cấp một tiêu chuẩn chung, các yêu cầu chiến lược

về dữ liệu Đưa ra được các thiết kế tích hợp mức tổng quan để đáp ứng đượccác yêu cầu của tổ chức và phù hợp với chiến lược cũng như kiến trúc củadoanh nghiệp

Thiết kế và mô hình hóa dữ liệu (Data Modeling & Design) là quá trình khám phá, nghiên cứu, phân tích dữ liệu Xác định, tìm hiểu các nhu cầu, mục

đích khai thác dữ liệu, thể hiện những nhu cầu, mục đích đó của tổ chức vào các

mô hình dữ liệu thống nhất, chuẩn tắc và có thể được sử dụng nhiều lần, lặp đilặp lại trong tương lai Mô hình hóa dữ liệu đại diện cho đối tượng dữ liệu, thểhiện mối liên hệ, sự kết hợp giữa các đối tượng dữ liệu khác nhau và các quy tắc

có thể có giữa các đối tượng dữ liệu đó

Lưu trữ và vận hành dữ liệu (Data Storage & Operations) các hoạt động bao gồm việc thiết kế, thực hiện, và hỗ trợ lưu trữ dữ liệu, mục đích để tối đa

hóa giá trị trong suốt vòng đời dữ liệu, từ việc tiếp cận, thu thập, tích hợp đến

xử lý Lưu trữ và vận hành dữ liệu bao gồm hai hoạt động là cơ sở dữ liệu hỗ trợtập trung và cơ sở dữ liệu kỹ thuật hỗ trợ

Cơ sở dữ liệu hỗ trợ (Database support): tập trung vào các hoạt động liên quan đến vòng đời dữ liệu, từ việc triển khai xây dựng môi trường cơ sở dữ liệu

ban đầu, đến việc thu thập, lưu trữ hay hủy bỏ dữ liệu, bảo đảm cơ sở dữ liệuđược hoạt động tốt thông qua giám sát và điều chỉnh

Cơ sở dữ liệu kỹ thuật hỗ trợ (Database technology support): xác định nhu

cầu, yêu cầu của hệ thống lưu trữ dữ liệu, xem xét với khả năng, nguồn lực hiệntại của tổ chức, xác định các phần mềm kỹ thuật, kết cấu kiến trúc sẽ áp dụng,sau đó tiến hành xây dựng, cài đặt và quản trị các phần mềm và giải quyết cácvấn đề phát sinh liên quan đến kỹ thuật trong tương lai

Quản trị cơ sở dữ liệu (DBA) đóng vai trò quan trọng trong cả hai khía cạnh dunglượng lưu trữ dữ liệu và các hoạt động Vai trò của DBA là thực hiện quản lý có uytín nhất và thông qua hầu hết các dữ liệu rộng rãi vai trò chuyên nghiệp, và cơ sở

dữ liệu có lẽ là trưởng thành hầu hết tất cả các biện pháp quản lý dữ liệu DBAcũng đóng vai trò chủ đạo trong hoạt động dữ liệu và bảo mật dữ liệu

Bảo mật dữ liệu (Data security) bao gồm việc lập kế hoạch, phát triển và thực

hiện các chính sách, quy trình bảo mật, cung cấp cách thức xác thực, ủy quyền,truy cập, kiểm soát, thống kê, báo cáo về dữ liệu và tài sản thông tin Chi tiết cácyêu cầu về bảo mật cho từng loại dữ liệu là khác nhau giữa các công ty, ngànhnghề, lĩnh vực thậm chí là giữa các quốc gia Tuy nhiên, mục tiêu của hoạt độngbảo mật dữ liệu là như nhau: bảo vệ tài sản thông tin, dữ liệu, tuân thủ các quy định

về quyền riêng tư, bảo mật, các yêu cầu, thỏa thuận khác trong kinh doanh

Tích hợp dữ liệu và khả năng tương tác (Data Integration & Interoperability)

mô tả quá trình liên quan đến sự di chuyển và hợp nhất dữ liệu bên trong và giữa

các hệ thống lưu trữ, các ứng dụng và tổ chức Tích hợp dữ liệu theo các biểu mẫucấu trúc nhất quán để dữ liệu giữa nhiều hệ thống có thể giao tiếp được với nhau.Đây là tính năng rất cơ bản mà hầu hết các doanh nghiệp cần thực hiện để: chuyểnđổi dữ liệu, tích hợp các gói giải pháp của đối tác vào hệ sinh thái ứng dụng chungcủa tổ chức; chia sẻ dữ liệu giữa các ứng dụng trong tổ chức; phân phối dữ liệugiữa các cơ sở lưu trữ dữ liệu và trung tâm dữ liệu; lưu trữ dữ liệu; quản lý giaodiện dữ liệu; tích hợp dữ liệu có cấu trúc và phi cấu trúc

Quản lý tài liệu, nội dung (Document & content management) liên quan đến

kiểm soát quá trình thu thập, lưu trữ, truy cập và sử dụng các tài liệu, thông tin ởbên ngoài cơ sở dữ liệu Mục đích là duy trì tính toàn vẹn và cho phép ngườidùng truy cập và sử dụng dữ liệu và thông tin phi cấu trúc hoặc bán cấu trúc.Trong nhiều tổ chức, dữ liệu phi cấu trúc có môi quan hệ trực tiếp với dữ liệu cócấu trúc do đó cần thiết lập các kế hoạch hành động cụ thể, triển khai và giámsát Ngoài ra, cũng như các loại dữ liệu khác, tài liệu và nội dung phi cấu trúccần được kiểm tra về chất lượng và bảo mật

Dữ liệu chủ và dữ liệu tham chiếu (References and master data): Các phòng

ban, bộ phận, các quy trình, hệ thống trong một tổ chúc đều có nhu cầu về chia

sẻ dữ liệu để sử dụng cho mục đích công việc của đơn vị mình Mặc dù lợi íchcủa việc chia sẻ dữ liệu đem lại là rất nhiều, nhưng luôn luôn tiềm ẩn rất nhiềurủi ro và có nhiều vấn đề phát sinh như dữ liệu có thể bị trùng lặp, dư thừa, chấtlượng dữ liệu không đảm bảo dẫn dến chi phí liên quan bị gia tăng Đó là lý do

vì sao tổ chức cần có sự quản lý dữ liệu tham chiếu và dữ liệu gốc (referenceand master data) một cách hiệu quả Dữ liệu tham chiếu là các bảng mã, mô tả

dữ liệu, phân loại dữ liệu khác bên trong tổ chức hoặc liên quan đến dữ liệu,thông tin khác ngoài phạm vi tổ chức

Kho dữ liệu tập trung và báo cáo quản trị dữ liệu (Data warehousing and Business Intelliengence) liên quan đến việc lập kế hoạch, thực hiện và kiểm soát

các quy trình để cung cấp dữ liệu hỗ trợ ra các quyết định và hỗ trợ công tác lậpbáo cáo, truy vấn, phân tích dữ liệu để ra quyết định Data warehousing mô tả cácquá trình trích xuất, làm sạch, chuyển đổi, kiểm soát và truyền tải dữ liệu trong kho

dữ liêu Business Intelligence (BI) là các quá trình, cách thức sử dụng dữ liệu để hỗtrợ lãnh đạo của công ty đưa ra các quyết định về kinh doanh một cách chính xáctại mỗi thời điểm BI dược coi là thuật ngữ phổ biến để miêu tả các cách sử dụng

dữ liệu phục vụ cho việc dự báo môi trường kinh doanh thông qua các bước phântích để nắm bắt, phát hiện ra các vấn đề kinh doanh trong dữ liệu Từ đó các nhàlãnh đạo sẽ tiến hành đưa ra các hành động, giải pháp cụ thể

Quản lý siêu dữ liệu (Metadata) liên quan đến việc lập kế hoạch, triển khai và

kiểm soát các hoạt động truy cập, sử dụng metadata Metadata – Siêu dữ liệu làloại dữ liệu dùng để mô tả các dữ liệu khác, như mô tả tính chất, loại biến dữliệu, thông tin mà dữ liệu đó cung cấp Cùng với reference data và master data,metadata hỗ trợ các quá trình xử lý, tích hợp, bảo mật, kiểm soát, chia sẻ dữ liệudiễn ra hiệu quả và chính xác hơn Ngoài ra, metadata còn giúp chúng ta hiểu rõhơn về dữ liệu, đánh giá chất lượng dữ liệu, quản lý các cơ sở dữ liệu, các ứngdụng tốt hơn

Quản lý chất lượng dữ liệu: Việc lập kế hoạch, thực hiện và kiểm soát các hoạtđộng áp dụng những kỹ thuật quản lý chất lượng vào dữ liệu để đảm bảo nó phùhợp để phân tích và đáp ứng nhu cầu của người dùng Quản lý chất lượng dữliệu (Data Quality Management - DQM) là một quá trình hỗ trợ quan trọngtrong quản lý thay đổi tổ chức Thay đổi tập trung kinh doanh, chiến lược hộinhập kinh doanh của công ty, và sáp nhập, mua lại, và đối tác có thể uỷ quyềncho rằng chức năng CNTT nguồn pha trộn dữ liệu, tạo ra dữ liệu, truy cập dữliệu, hoặc tích hợp dữ liệu

Chất lượng dữ liệu là đồng nghĩa với chất lượng thông tin, nếu chất lượng dữliệu kém sẽ tạo ra thông tin không chính xác và hiệu quả kinh doanh kém Làmsạch dữ liệu là giải pháp cải tiến ngắn hạn và tốn kém mà không giải quyết cácnguyên nhân gốc rễ của các vấn đề về chất lượng của dữ liệu Một chương trìnhquản lý chất lượng dữ liệu chặt chẽ và tổng thể là cần thiết để cung cấp một giảipháp kinh tế để cải thiện chất lượng dữ liệu toàn vẹn

Quản lý chất lượng dữ liệu tập trung vào quản lý vòng đời để tạo dữ liệu, chuyểnđổi, và truyền tải để đảm bảo rằng những thông tin kết quả đáp ứng nhu cầu của

tất cả người tiêu dùng dữ liệu trong tổ chức.Thể chế hóa quy trình giám sát chấtlượng dữ liệu, quản lý và cải thiện bản lề vào việc xác định nhu cầu kinh doanhcho dữ liệu chất lượng và xác định những cách tốt nhất để đo lường, giám sát,kiểm soát và báo cáo về chất lượng của dữ liệu Sau khi xác định các vấn đềtrong các dòng xử lý dữ liệu, thông báo cho người quản lý dữ liệu thích hợp để

có hành động khắc phục nhằm giải quyết các vấn đề cấp tính, trong khi đồngthời cho phép loại bỏ các nguyên nhân gốc rễ của nó

DQM cũng là một quá trình liên tục để xác định các thông số để xác định mức

độ cho phép chất lượng dữ liệu để đáp ứng nhu cầu kinh doanh, và đảm bảorằng chất lượng dữ liệu đáp ứng được yêu cầu của tổ chức DQM liên quan phântích chất lượng của dữ liệu, xác định điểm bất thường dữ liệu, và xác định yêucầu kinh doanh và tương ứng với quy tắc kinh doanh cho khẳng định chất lượng

dữ liệu cần thiết DQM liên quan đến việc khi tiến hành các quy trình kiểm tra,kiểm soát theo dõi phù hợp với các quy tắc chất lượng dữ liệu được xác định,Cũng như khi tiến hành phân tích dữ liệu, tiêu chuẩn hóa, làm sạch, và củng cố,khi cần thiết

1.3 KHUNG QUẢN LÝ DỮ LIỆU VIỄN THÔNG CHO TCT MẠNG LƯỚI VIETTEL

Dựa trên các thành phần khung quản lý dữ liệu chung của DAMA và quá trìnhkhảo sát thực tế hiện trạng quản lý dữ liệu tại đơn vị để đưa ra khung quản lý dữliệu, các hợp phần quan trọng bắt buộc tổ chức cần thực hiện quản lý khi muốnnâng cao công tác quản lý dữ liệu của đơn vị mình Do mô hình thực tế tại tậpđoàn Công nghiệp viễn thông quân đội cho sự phân công rõ ràng vai trò tráchnhiệm về đơn vị ví dụ, các hoạt động định hướng quản trị thì thuộc các phòngban trên tập đoàn, các hoạt động phát sinh, thu thập và lưu trữ dữ liệu thì rải ráctrong tất cả hoạt động của đơn vị thành viên trong tập đoàn Sau đó việc quảntrị, quy cập, phân quyền nằm tập trung tại Tổng công ty mạng lưới Viettel Từđây là cung cấp dịch vụ cho các công ty thành viên sử dụng và phân tích dữliệu Song song với các hoạt động trên thì công tác quản lý an toàn thông tinđược thực hiện bởi chính giải pháp từ các công ty thành viên và bởi công ty Anninh mạng chuyên trách

Từ mô hình tổ chức hiện tại của cả tập đoàn, việc đưa ra mô hình khung quản lý

dữ liệu như hình 1.3 Khung quản lý dữ liệu viễn thông được cho là phù hợp vìsắp xếp các phân hệ, cấu phần hợp lý cho từng đơn vị, tổng công ty theo đúngchức năng hiện tại

Hình 1.3 Khung quản lý dữ liệu viễn thôngNhư vậy khung quản lý dữ liệu viễn thông sẽ bao gồm: quản trị dữ liệu gồm có:quản lý dữ liệu, quản lý lưu trữ, quản lý vòng đời, quản lý dữ liệu chủ, quản lýsiêu dữ liệu Hợp phần này chủ yếu sẽ thuộc trách nhiệm định hướng bởi phòngban Tập đoàn, đưa ra chỉ đạo, định hướng, nguyên tắc chung cho các đơn vị trựcthuộc thực hiện.

Hợp phần thứ hai là thu thập/ lưu trữ thông tin gồm quản lý các nguồn tạo dữliệu, dữ liệu được nhập vào như thế nào, quản lý về thời gian lưu trữ ra sao vàcách tổ chức và tích hợp thông tin

Sau đó khi thu thập và lưu trữ, dữ liệu sẽ được quản lý, xử lý để đảm bảo chấtlượng, dữ liệu được chuẩn hoá, đảm bảo chất lượng, đo lường và kiểm thử được.Việc quản lý truy cập dữ liệu rất cần thiết để đảm bảo dữ liệu được truy cậpđúng theo quyền của các đơn vị Sau đó là hợp phần quan trọng về việc phântích dữ liệu, sử dụng các giải pháp bài toán cho việc phân tích dữ liệu, dự đoántiềm năng cho việc phát triển, xây dựng sản phẩm và mô hình kinh doanh trongtương lai của doanh nghiệp

Cuối cùng là hợp phần về quản lý an ninh thông tin Hợp phần này được thựchiện bởi hai lớp tại chính các đơn vị thành viên trong tập đoàn và bởi công ty anninh mạng có trách nhiệm rà soát, giám sát lại việc thực hiện tại đơn vị

Hợp phần quản trị gồm: Công tác quản lý để lập kế hoạch, thực hiện và giám sát

các chính sách, thông lệ và dự án tạo ra, kiểm soát, bảo vệ và tăng cường giá trịcủa tài sản thông tin Tiếp theo là quản lý kiến trúc: quy trình xác định và duy trì

các thông số kỹ thuật cung cấp từ vựng nghiệp vụ phổ biến, thể hiện các yêucầu về dữ liệu chiến lược, phác thảo các thiết kế tích hợp cấp cao và phù hợpvới chiến lược doanh nghiệp và kiến trúc kinh doanh.

Quản lý vòng đời: quy trình xác định các giải pháp dữ liệu đầu cuối trong toàn

bộ vòng đời dữ liệu Bao gồm việc tạo ra dữ liệu thông qua các hoạt động phântích cho đến triển khai các giải pháp

Quản lý dữ liệu chủ: quy trình kiểm soát các hoạt động để đảm bảo các địnhnghĩa thống nhất của các đơn vị kinh doanh trên nhiều hệ thống nội bộ và mởrộng cho các đối tác khi thích hợp

Quản lý metadata: quy trình đầu cuối để tạo, kiểm soát, tăng cường, xác định vàquản lý dữ liệu để cho phép truy cập thông tin tích hợp chất lượng cao

Hợp phần thu thập/ lưu trữ gồm: Nguồn phát sinh dữ liệu, xác định và quản lý

dữ liệu để cho phép truy cập kinh doanh trên nhiều hệ thống nội bộ và bên ngoài.Nhập: khả năng thu thập và sắp xếp thông tin từ tầng tạo dữ liệu cho quá trình

xử lý thông tin

Thời gian lưu: lưu trữ tài sản thông tin tại một địa điểm đã chọn và xác định loạicấu trúc Tổ chức và lưu trữ thông tin lịch sử

Lưu trữ: các hệ thống lưu trữ các loại dữ liệu khác nhau (cấu trúc, bán cấu trúc

và không có cấu trúc) bao gồm các hoạt động của cơ sở dữ liệu

Chuyển đổi: giá trị dữ liệu được chuyển đổi từ định dạng dữ liệu của một hệthống dữ liệu nguồn sang định dạng dữ liệu của một hệ thống dữ liệu đích

Tổ chức và tích hợp: quản lý, tập hợp, tích hợp và cung cấp các tài sản dữ liệucần thiết cho doanh nghiệp yêu cầu để phân tích và ra quyết định

Hợp phần chất lượng dữ liệu gồm: Chuẩn hóa: định dạng tài sản thông tin thành

các giá trị theo cấu trúc nhất quán Đảm bảo chất lượng: các tiêu chuẩn thông tinđược tạo ra và áp dụng cho thông tin (về định dạng, ngữ nghĩa và mức độ chấtlượng), để xác định và thông báo nếu có sự khác biệt so với tiêu chuẩn đó

Đo lường: quy trình và giám sát để đảm bảo thông tin hoàn chỉnh, chính xác,nhất quán và cập nhật để đáp ứng nhu cầu của tổ chức

Kiểm thử: cho phép hiển thị các thay đổi được thực hiện để hiểu và ngăn chặncác tác động tiêu cực đến thông tin

Hợp phần truy cập và cung cấp dữ liệu gồm: Khám phá dữ liệu: cho phép

người dùng truy cập dữ liệu thô để kiểm thử giả thuyết nhanh chóng và dễ dàngtrên nhiều nguồn dữ liệu bao gồm cả nội bộ và bên ngoài Công bố, trích xuất:tài sản thông tin được tiếp xúc với các ứng dụng và những người sử dụng thôngtin khác, bao gồm việc truyền tải tới các bên thứ ba bên ngoài Sau đó sẽ quản lýphân bổ: chuyển giao nội dung thông tin theo mẫu quy định cho người nhận.Tìm kiếm: khả năng xác định mối quan hệ của tài sản thông tin với một kháiniệm mục tiêu hoặc các khái niệm

Tự truy cập: khả năng cung cấp dữ liệu để cho phép người dùng sử dụng thôngtin theo yêu cầu

Ảo hóa: nhiều kỹ thuật, phương pháp hoặc phương pháp tiếp cận để kết hợp cácnguồn dữ liệu/loại dữ liệu khác nhau bất kể nơi dữ liệu được đặt trong một môitrường ảo

Tương tác hiển thị hóa: việc minh hoạ các đối tượng thông tin và mối quan hệcủa chúng được kích hoạt bằng cách khai thác dữ liệu bằng cách thao tác cáchình ảnh biểu đồ với các đối tượng hiển thị thể hiện các khía cạnh của bộ dữliệu đang được phân tích

eDiscovery: các hệ thống và quy trình kiểm tra dữ liệu để phân tích đượcnguyên nhân gốc của vấn đề

Hợp phần phân tích dữ liệu gồm: Phân tích chẩn đoán: phân tích và trả lời các

câu hỏi nghiệp vụ cụ thể và đào sâu vào các báo cáo tĩnh để biết chi tiết về tàikhoản, giao dịch hoặc hồ sơ

Phân tích dự báo: phân tích các sự kiện hiện tại và lịch sử bằng cách khai tháccác mẫu để đưa ra dự đoán về cơ hội tương lai và nhận diện rủi ro

Phân tích, chỉ thị: tìm cách xác định giải pháp hoặc kết quả tốt nhất trong số cáclựa chọn khác nhau, dựa trên các thông số đã biết Đề xuất các lựa chọn đểquyết định về cách tận dụng cơ hội tương lai hoặc giảm nhẹ rủi ro tương lai.Phân tích mô tả: phân tích các sự kiện trong quá khứ để có nhận thức nhằm xácđịnh phương pháp tiếp cận đối với các tình huống tương lai tương tự

Phân tích văn bản: phân tích và khai thác các mô hình và xu hướng bằng vănbản để cấu trúc, đánh giá và giải thích kết quả với sự trợ giúp của các công cụ

xử lý ngôn ngữ tự nhiên và các công cụ phân tích

Phân tích cảm tính: phân tích và rút ra kết luận cảm tính và tình cảm từ cácnguồn (xã hội, giọng nói-văn bản, web, v.v.).

Hợp phần an ninh dữ liệu gồm: Bảo vệ: kiểm soát truy cập nguồn thông tin đểxác minh rằng việc yêu cầu ứng dụng hoặc cá nhân là được phép

Giám sát: mức độ mà tất cả các tài sản thông tin đạt được tuân thủ nhờ cácchính sách quản trị liên quan đến tiêu chuẩn, chất lượng, an ninh, quyền riêng tư

và quản lý vòng đời Tính riêng tư: có chính sách bảo mật và các biện phápkiểm soát để đảm bảo thông tin (khi cần) được ẩn danh hoặc thông tin nhạy cảmđược soạn lập

Các hợp phần trong quản lý dữ liệu đều rất quan trọng trong việc quản lý, đảmbảo chất lượng dữ liệu qua đó để nâng cao chất lượng việc ra quyết định dựatrên dữ liệu Trong phạm vi khảo sát và đi sâu vào thực tế triển khai vào cácbước triển khai tiếp theo, luận văn đi sâu vào nghiên cứu và triển khai cho hợpphần quản lý an ninh thông tin

CHƯƠNG 2 QUẢN LÝ AN TOÀN THÔNG TIN TRONG

DOANH NGHIỆP 2.1 ĐỊNH NGHĨA AN TOÀN THÔNG TIN

An toàn thông tin đang và sẽ tiếp tục là một điểm nóng trong ngành viễn thông, cácnguy cơ rủi ro được tiềm ẩn trên nhiều khía cạnh, con người, quy trình và côngnghệ Để giải quyết vấn đề này cần xây dựng các hệ thống quản lý đảm bảo an toànthông tin cho các hệ thống dữ liệu của tổ chức dựa trên các quy định hiện hành củapháp luật và các tiêu chuẩn kỹ thuật an toàn thông tin trên thế giới

Bên cạnh việc trang bị các giải pháp kỹ thuật thì cần xây dựng chính sách Antoàn thông tin để đưa ra các chiến lược, cam kết trong hoạt động quản lý cũngnhư thiết lập các chuẩn mực ATTT đảm bảo tính bảo mật, toàn vẹn và sẵn sàngcho tất cả các dữ liệu viễn thông

Theo thống kê “Hơn 80% số sự cố là do yếu tố quản lý và con người song lạikhông có thống kê nào cho thấy việc đầu tư nâng cao nhận thức cho nhân viên

về an toàn thông tin được chú trọng thực hiện Hầu hết tập trung triển khai cácgiải pháp kỹ thuật, phần mềm ANTT…”

An toàn thông tin là đảm bảo tính bảo mật để dữ liệu chỉ được truy cập bởinhững người được phép truy cập Thứ hai là tính toàn vẹn để đảm bảo dữ liệu

có tính chính xác và toàn vẹn của dữ liệu và các phương pháp xử lý dữ liệu.Tiếp theo là tính sẵn sàng để đảm bảo rằng những người được phép có thể truycập dữ liệu và các tài sản liên quan khi có yêu cầu [4], [5]

2.2 CÁC PHƯƠNG PHÁP QUẢN LÝ AN TOÀN THÔNG TIN

2.2.1 Tiêu chuẩn quản lý an toàn thông tin ISO27001:2013

Để triển khai hệ thống quản lý an toàn dữ liệu trong tổ chức có nhiều phươngpháp tiếp cận quản lý như áp dụng các tiêu chuẩn quốc tế về hệ thống quản lý

an toàn thông tin ISO27001:2013; bộ tiêu chuẩn an toàn thông tin của Mỹ NIST; Tiêu chuẩn an toàn bảo vệ dữ liệu cá nhân GDPR

-Tiêu chuẩn quản lý an toàn thông tin ISO27001:2013 là tiêu chuẩn quốc tế đượcchuẩn bị để đưa ra một mô hình cho việc thiết lập, triển khai, vận hành, giámsát, xem xét, duy trì và nâng cấp hệ thống quản lý an ninh thông tin (ISMS –Information Security Management System) [4], [5]

Việc chấp nhận một hệ thống ISMS là một quyết định chiến lược của tổ chức.Thiết kế và triển khai hệ thống quản lý an ninh thông tin của một tổ chức phụ

thuộc vào nhu cầu và mục tiêu, các yêu cầu về an toàn phải đạt được, các quytrình đang được sử dụng, quy mô và cấu trúc của tổ chức Kết hợp với các hệthống hỗ trợ sẽ luôn cần được cập nhập và thay đổi Việc đầu tư và triển khai hệthống ISMS cần phải có tỷ trọng phù hợp với nhu cầu của tổ chức.

Tiêu chuẩn này có thể sử dụng để đánh giá sự tuân thủ của các bộ phận bêntrong tổ chức cũng như các bộ phận liên quan bên ngoài tổ chức

Nó còn là công cụ để cho các nhà lãnh đạo thực hiện việc giám sát, quản lý hệthống thông tin, tăng cường mức độ an toàn, bảo mật, giảm thiểu rủi ro cho hệthống thông tin- “đáp ứng được mục tiêu của doanh nghiệp, tổ chức”

ISO 27001 đặc tả các yêu cầu cần thiết cho việc thiết lập, vận hành và ghi lạihọat động của ISMS Nó đưa ra các nguyên tắc cơ bản cho việc khởi tạo, thựcthi, duy trì và cải tiến ISMS Chuẩn quốc tế này được thống nhất cung cấp một

mô hình để xây dựng, triển khai, điều hành, giám sát, xem xét, duy trì và cải tiếnmột hệ thống quản lí bảo mật thông tin ISMS Chuẩn này bao gồm cả việchướng dẫn, thực hành cho việc phát triển các quy định bảo mật thông tin, cácthực tiễn quản lý bảo mật hiệu quả để xây dựng một hệ thống thông tin chodoanh nghiệp một cách an toàn và tin cậy Việc tuân thủ của một hệ thống quản

lí bảo mật thông tin ISMS phải là một quyết định chiến lược của một tổ chức.Việc thiết kế và triển khai hệ thống ISMS của một tổ chức phụ thuộc vào nhucầu và mục tiêu của họ [5], [6]

Hình 2.1 Lộ trình triển khai ISO27001:2013

2.2.2 Phương pháp tiếp cận PCDA

Tiêu chuẩn quốc tế này chấp nhận việc tiếp cận theo quy trình để thiết lập, triển

khai, vận hành, giám sát, xem xét, duy trì và cải tiến hệ thống ISMS của tổ chức.Một tổ chức cần xác định và quản lý rất nhiều hoạt động để vận hành một cáchhiệu quả Bất cứ hoạt động nào sử dụng các tài nguyên và quản lý để chuyển đổicác đầu vào thành đầu ra thì đều được coi là một quy trình Thông thường đầu ra

từ quy trình này là đầu vào của quy trình tiếp theo

Việc áp dụng một hệ thống các quy trình trong tổ chức, cùng với sự nhận biết vàtương tác giữa các quy trình và sự quản lý chúng, có thể coi là “cách tiếp cậntheo quy trình”

Tiêu chuẩn quốc tế này thông qua mô hình “Lập kế hoạch- Thực hiện – Kiểmtra và Hành Động- PDCA” để áp dụng cho tất cả các quy trình trong hệ thốngISMS Mô hình dưới giải thích cách hệ thống ISMS lấy đầu vào là các yêu cầu

và kỳ vọng về bảo mật thông tin của các bên thứ ba, sau khi tiến hành các quytrình xử lý cần thiết sẽ đáp ứng an ninh thông tin theo như các yêu cầu và kỳvọng đặt ra Hình 2.2 chỉ ra các liên hệ giữa các quy trình được biểu diễn trongcác điều khoản của ISO27001:2013 [4], [5], [6]

Hình 2.2 Mô hình PDCAQuá trình lập kế hoạch (thiết lập hệ thống ISMS) là quá trình thiết lập chính sách,mục tiêu, các quá trình và quy trình liên quan tới việc quản lý rủi ro và cải tiến anninh thông tin nhằm đem lại các kết quả phù hợp với chính sách và mục tiêuchung của tổ chức Sau khi có kế hoạch thì cần triển khai thực hiện hệ thống theo

kế hoạch đã hoạch định ra Triển khai và vận hành các chính sách ISMS, các biệnpháp thực hiện kiểm soát, các quá trình và quy trình của hệ thống ISMS Xác địnhhiệu quả việc thực hiện quy trình dựa trên chính sách, các mục tiêu của ISMS; báocáo lại kết quả cho việc xem xét của lãnh đạo Cuối cùng là tiến hành các hànhđộng khắc phục và phòng ngừa dựa trên kết quả của việc đánh giá nội

bộ và xem xét của lãnh đạo về hệ thống ISMS hoặc dựa trên các thông tin liênquan Khi vận dụng mô hình PDCA vào việc triển khai tiêu chuẩnISO27001:2013 vào tổ chức cần thực hiện các công việc chi tiết gì được mô tảchi tiết trong hình 2.3 Mô hình PDCA ISO27001.

Hình 2.3 Mô hình PDCA ISO27001Ngay ở giai đoạn “Lập kế hoạch” đầu tiên cần triển khai thực hiện khảo sát, đolường để đánh giá hiệu quả các giải pháp an toàn thông tin hiện tại tổ chức đangthực hiện Các giải pháp hiện tại đã đủ để đảm bảo an toàn thông tin cho tổ chứcchưa, có điểm mạnh điểm yếu như thế nào Ở bước này sẽ giúp ta nhìn thấy bứctranh hiện tại về hệ thống quản lý an toàn thông tin doanh nghiệp Tổ chức khikhảo sát thực trạng an toàn thông tin cho các hệ thống công nghệ thông tin, viễnthông của doanh nghiệp cần xây dựng danh sách các câu hỏi, kịch bản khảo sát đầy

đủ Trong phạm vi luận văn đã nghiên cứu xây dựng danh sách câu hỏi khảo sátđánh giá an toàn thông tin cho tổ chức chi tiết theo Phụ lục 02 Checklist khảo sátđánh giá rủi ro cho dữ liệu viễn thông Sau khi khảo sát, chúng ta cần cập nhật lại

cơ sở dữ liệu tài sản của tổ chức Mục đích hệ thống an toàn thông tin là để kiểmsoát an toàn cho tài sản, tài sản ở đây hiểu là tài sản thông tin, vật lý, phần mềmhay thương hiệu của doanh nghiệp Do đó việc cập nhật thường xuyên đầy đủ danhmục tài sản của tổ chức là rất cần thiết Từ danh mục tài sản, ta tiếp tục thực hiệnđánh giá rủi ro Để đánh giá rủi ro đầy đủ cho tài sản này luận văn đã nghiên cứuđưa ra danh mục ánh xạ giữa các điểm yếu và đe doạ chi tiết theo Phụ

lục 01 Danh sách các điểm yếu, đe doạ dùng để phân tích rủi ro an toàn cho dữ liệu viễn thông.

Ở giai đoạn “Thực hiện” các công việc chính cần thực hiện bao gồm đào tạo Antoàn thông tin, xây dựng hệ thống tài liệu quy định, quy trình nội bộ đơn vị liênquan ATTT, tích hợp các yêu cầu ATTT trong hệ thống tài liệu hiện tại của tổchức Và thực hiện triển khai các giải pháp kiểm soát an toàn tổ chức còn chưathực hiện hoặc thực hiện chưa tốt sau kết quả đánh giá khảo sát ở giai đoạn

“Lập kế hoạch”

Giai đoạn thứ ba “Kiểm tra” các giải pháp sau khi được thực hiện, ta cần thựchiện đo lường, đánh giá hiệu quả các giải pháp đã thực hiện triển khai Đánh giáviệc tuân thủ của các đơn vị khi áp dụng các giải pháp này để báo cáo kết quảtới lãnh đạo xem xét và ra quyết định cho hướng cải tiến tiếp theo

Và giai đoạn cuối “Hành động” thực hiện các hành động cải tiến các giải pháp,cách thức đã thực hiện trong giai đoạn trước để mang lại hiệu quả ngày càng tốthơn nữa

2.2.3 Phương pháp quản lý rủi ro

Phương pháp quản lý rủi ro chính là “sợi chỉ đỏ” xuyên suốt trong quá trình xâydựng, triển khai, giám sát hệ thống quản lý an toàn thông tin

Quản lý rủi ro bao gồm ba hoạt động chính: xác định rủi ro, đánh giá rủi ro vàkiểm soát rủi ro Ban đầu, tổ chức phải xác định, đánh giá nhận diện ra rủi ro hiệntại của tổ chức mình là gì Để đánh giá, nhận diện được rủi ro một cách đầy đủ nhấtthì tổ chức cần cập nhật đầy đủ cơ sở dữ liệu các tài sản của mình đang quản lý,đặc biệt là tài sản thông tin cùng với các đặc điểm, nơi lưu trữ, mức độ quan trọng

và giá trị, đặc thù của tài sản Sau khi rủi ro được nhận diện thì tổ chức cần thựchiện đánh giá, đo lường, xác định rủi ro ở mức độ ưu tiên như thế nào dựa trênmức độ ảnh hưởng của rủi ro nếu xảy ra và khả năng hay tần xuất rủi ro đó có thểxảy ra trên thực tế dựa trên các yếu tố bên ngoài, dữ liệu trong lịch sử để đánh giáxác nhận Việc quyết định rủi ro có những hành động xử lý như thế nào cho phùhợp sẽ được cân nhắc dựa trên chi phí phải bỏ ra để xử lý rủi ro và mức độ ảnhhưởng nếu rủi ro xảy ra cho tổ chức ở mức độ nào Để từ đó tổ chức có kế hoạch

xử lý rủi ro cho phù hợp nhất với đặc điểm tình hình của đơn vị mình

Sau khi có kế hoạch xử lý rủi ro, kế hoạch đó phải tiếp tục được giám sát kếtquả thực hiện để đảm bảo việc thực hiện đúng tiến độ và triển khai biện phápkiểm soát phù hợp và hiệu quả [16], [17], [18]

Trong quá trình xử lý rủi ro, tổ chức cần xác định mức độ chấp nhận rủi ro (RiskAppetite) là mức độ rủi ro mà tổ chức sẵn sàng chấp nhận Mục tiêu của việc xử

lý rủi ro là đảm bảo tất cả các rủi ro sau khi xử lý sẽ đạt về mức rủi ro có thểchấp nhận được Còn sau khi áp dụng các biện pháp kiểm soát nhằm giảm rủi

ro, đánh giá lại vẫn còn rủi ro dư (Residual Risk) là lượng rủi ro tồn động đốivới tài sản thông tin ngay cả khi tổ chức đã áp dụng mức kiểm soát mong muốnthì tổ chức cần tiếp tục kiểm soát, áp dụng bổ sung biện pháp kiểm soát khácnếu cần để rủi ro về mức độ chấp nhận được [6]

Mô hình nhận diện rủi ro cho tổ chức thông thường hay được áp dụng gồm cácgiai đoạn chính sau: trước tiên tổ chức cần lên kế hoạch và quy trình với cácbước phù hợp để nhận diện ra rủi ro, tiếp theo là nhậ diện, lên danh mục vàphân loại tài sản Sau khi có đầy đủ danh mục tài sản của tổ chức, phân nhómtài sản phù hợp theo đặc thù (thông thường được chia thành các nhóm tài sảnthông tin, tài sản vật lý, tài sản phần mềm, tài sản dịch vụ, hình ảnh) thì tổ chứccần tính giá trị để phân loại mức độ quan trọng, mức độ ưu tiên, đánh giá cácđiểm yếu của tài sản đó và các đe doạ bên ngoài có khả năng tấn công khai thácgây ra ảnh hưởng đến tài sản của tổ chức [18], [20]

Khi áp dụng mô hình quản lý rủi ro này cho hoạt động quản lý rủi ro an toànthông tin cho các tài sản của tổ chức sẽ giúp ta có một bức tranh đầy đủ về cácrủi ro ATTT mà tổ chức có khả năng gặp phải, đánh giá sắp xếp mức độ ưu tiên

và xây dựng hệ thống các biện pháp kiểm soát một cách đầy đủ, bài bản để giảmthiểu rủi ro

Chi tiết các biện pháp kiểm soát có khả năng áp dụng nhằm giảm thiểu rủi roATTT được trình bày chi tiết trong mục 2.3 Khung quản lý an toàn thông tin

2.3 KHUNG QUẢN LÝ AN TOÀN THÔNG TIN

Tiêu chuẩn và các yêu cầu về an toàn thông tin được nói rất nhiều trong các tiêuchuẩn quản lý khác nhau như ISO27001, NIST, GDPR v.v Tuy nhiên theo kinhnghiệm của bản thân và qua quá trình khảo sát tại đơn vị thì để triển khai hệ thốngquản lý an toàn thông tin hiệu quả cần có sự phối hợp chặt chẽ giữa ba yếu tố làQuy trình, Công cụ và Con người Ba yếu tố song hành kết hợp lại mới có được hệthống quản lý tốt Ví như nếu xây dựng hệ thống Quy trình có chuẩn, tốt đến đâu đinữa nhưng không có hệ thống công cụ hỗ trợ để việc áp dụng được nhanh chónghoặc con người không nhận thức được tầm quan trọng của việc áp dụng các quytrình vào hoạt động hàng ngày trong công việc của mình thì hệ thống

quản lý cũng không bao giờ tốt được Do đó xây dựng quy trình xong và để quytrình đi vào cuộc sống cần chú ý xây dựng công cụ quản lý và chú trọng côngtác đào tạo, truyền thông nâng cao nhận thức cho cán bộ nhân viên.

Sau khảo sát trên cả ba phương diện quy trình, công cụ và con người tại tổngcông ty mạng lưới cộng với nhận biết được các giải pháp tổng công ty đã thựchiện thì đánh giá khung quản lý an toàn thông tin theo tiêu chuẩn quản lýISO27001 là phù hợp, hiệu quả nhất cho đơn vị hiện tại

Khung quản lý an toàn thông tin được mô tả chi tiết trong hình 2.4 Các lĩnh vựcchính trong quản lý ATTT [4], [5], [6], [7]

Hình 2.4 Các lĩnh vực chính trong quản lý ATTT

Để có hệ thống quản lý ATTT toàn diện tổ chức cần thực hiện đầy đủ các vấn đề vềquản lý chính sách ATTT, quản lý an ninh tổ chức, quản lý an ninh nguồn lực conngười, quản lý tài sản, kiểm soát nguồn lực, quản lý mã hoá, quản lý bảo mật môitrường vật lý, quản lý bảo mật vận hành, quản lý bảo mật truyền thông, Quản lýnhà cung ứng và quản lý xây dựng, phát triển duy trì hệ thống [5], [6]

Việc xây dựng chính sách an toàn thông tin là cung cấp định hướng và hỗ trợ củalãnh đạo đối với hệ thống bảo mật thông tin phù hợp với những yêu cầu kinhdoanh, luật pháp và chế định liên quan Chính sách ATTT sau khi xây dựng cầnđược truyền thông đào tạo đầy đủ trong nội bộ cũng như cho các đối tác làm việcvới đơn vị hiểu và nắm được nguyên tắc chung về ATTT với tổ chức Và chính

sách này cần được định kỳ xem xét cập nhật nội dung, thay đổi phù hợp vớithực tế tổ chức nếu cần.

Quản lý an ninh trong tổ chức là việc quản lý bảo mật thông tin của tổ chức vànhững phương tiện xử lý thông tin cần được tiếp cận, quy trình, thông tin hoặcđược điều hành trong nội bộ và với các tổ chức bên ngoài Trong nội bộ đơn vịcần có phân công vai trò trách nhiệm đơn vị rõ ràng liên quan như thế nào tớiviệc quản lý an toàn thông tin

Quản lý bảo mật vấn đề nhân sự để đảm bảo rằng tất cả các nhân viên, ngườicung cấp nhân lực và người dùng của bên thứ ba hiểu được trách nhiệm của họ,

và phù hợp với những vai trò họ thể hiện, và để giảm thiểu rủi ro về thất thoát,gian lận hoặc lạm dụng thiết bị của công Tổ chức đưa ra các giải pháp, cácchương trình đào tạo nhằm đảm bảo rằng tất cả các nhân viên, người cung cấpnhân lực và những người dùng của bên thứ ba nhận biết được các mối đe doạ vàvấn đề liên quan về bảo mật thông tin, trách nhiệm và nghĩa vụ của họ, và đượctrang bị để hỗ trợ chính sách bảo mật thông tin của tổ chức trong phạm vi côngviệc bình thường của họ, và để giảm thiểu các rủi ro về lỗi con người Nhânviên, người cung cấp nhân lực và người dùng bên thứ ba rời khỏi tổ chức hoặcthay đổi vị trí tuân thủ những quy định về bàn giao đầy đủ tài sản, quyền truycập và cam kết bảo mật thông tin cho tổ chức kể cả khi đã nghỉ hoặc thôi khônglàm việc với đơn vị

Tổ chức cần thực hiện quản lý, phân loại, kiểm kê tài sản định kỳ để duy trìnhững sự bảo mật cần thiết đối với tài sản của tổ chức và đảm bảo rằng rất cảcác tài sản đều có các biện pháp bảo mật an toàn phù hợp Các tài sản đánh giáphân loại các mức độ quan trọng khác nhau sẽ được ưu tiên các biện pháp kiểmsoát khác nhau, ưu tiên và phù hợp theo mức độ quan trọng của tài sản đó

Khi đơn vị thực hiện các biện pháp quản lý truy cập tức là triển khai các biệnpháp quản lý truy cập cả về mặt logic và vật lý Kiểm soát truy cập lôgic chocác quyền truy cập trên hệ thống, kiểm soát nhóm quyền ưu tiên có đặc quyềncao thì cần phải đảm bảo có đầy đủ biện pháp xác nhận bảo vệ phù hợp

Một trong những biện pháp kiểm soát ATTT quan trọng không thể thiếu hiệnnay là quản lý mã hóa Mã hoá thông tin khi lưu trữ, vận chuyển nhằm bảo vệ

an toàn dữ liệu không bị sử dụng, xâm phạm bởi người không được phép Sửdụng mã hóa để bảo vệ thông tin nhạy cảm được truyền bởi các thiết bị, phươngtiện di động hoặc phương tiện có thể di dời, hoặc qua các đường truyền thông

Các biện pháp quản lý an toàn môi trường, vật lý là các biện pháp liên quan tớikiểm soát an ninh, an toàn về vành đai vật lý ngăn chặn những sự thâm nhập tráiphép làm tổn hại về mặt vật lý trái phép trong tổ chức Tổ chức cần triển khaicác cách kiểm soát ra vào, các vòng an ninh bảo vệ, cửa an ninh, thẻ từ, cameragiám sát v.v Để ngăn ngừa những sự mất mát, tổn hại đến tài sản và làm giánđoạn những hoạt động của tổ chức.

Các hoạt động quản lý an toàn vận hành nhằm giảm thiểu rủi ro về những lỗi hệthống Nhằm ngăn ngừa những sự lộ tin, sự vi phạm, sửa đổi, di dời hoặc pháhuỷ không được phép của tài sản và sự làm gián đoạn các hoạt động kinhdoanh Nhằm phát hiện ra những hành động xử lý thông tin không được phép.Cần xây dựng quy trình quản lý sự cố an toàn bảo mật để bảo đảm những sựkiện bảo mật thông tin và những điểm yếu liên quan đến hệ thống thông tinđược truyền đạt để có thể có những hành động khắc phục hợp lý và đúng lúc.Bên cạnh đó quản lý tính liền mạch kinh doanh để tối thiểu thời gian gián đoạntrong những hoạt động kinh doanh để bảo vệ những hoạt động kinh doanh quantrọng không bị ảnh hưởng gián đoạn bởi các sự cố lớn hoặc thảm hoạ từ hệthống thông tin và để đảm bảo sự hoạt động lại kịp thời

Quản lý an toàn truyền thông là các biện pháp kiểm soát để đảm bảo các hệthống cần được quản lý và kiểm soát để bảo vệ thông tin trong các hệ thống vàứng dụng Các thông tin được thông báo ra ngoài sẽ được xem xét phê duyệttheo quy trình kiểm soát cụ thể để đảm bảo các thông tin được cung cấp đúngđến các đối tượng một cách phù hợp

Các biện pháp để quản lý yêu cầu, phát triển và duy trì hệ thống thông tin đểbảo đảm rằng bảo mật là một phần không thể thiếu trong hệ thống thông tin.Các giải pháp về ATTT được đưa ra, chú trọng ngay từ khi xây dựng hệ thống

Để ngăn ngừa lỗi, mất mát, thay đổi và lạm dụng trái phép các thông tin ứngdụng Bảo vệ sự bảo mật, sự xác thực, hay toàn vẹn của thông tin bởi những mật

mã Hạn chế rủi ro xuất phát từ việc lợi dụng những điểm yếu kỹ thuật

Bên cạnh đó, tổ chức cần đặc biệt lưu ý tới các vấn đề về quản lý mối quan hệnhà cung ứng để đảm bảo việc bảo vệ tài sản của tổ chức có thể bị truy cập bởicác nhà cung cấp bên ngoài hay không Tổ chức cần xác định và đưa ra chínhsách kiểm soát an toàn thông tin đối với các nhà cung cấp đặc thù có quyền truycập đến thông tin của tổ chức Những kiểm soát này cần đề cập tới các quy trình

và thủ tục cần được thực hiện bởi tổ chức, cũng như những quy trình và thủ tục

mà tổ chức cần yêu cầu các nhà cung cấp thực hiện

Từ khung các lĩnh vực chính mà đơn vị cần thực hiện kiểm soát một cách đầy

đủ khi xây dựng hệ thống quản lý ANTT như hình 2.4 Em đã thực hiện khảo sátđánh giá hoạt đông quản lý ANTT theo các đầy đủ các yêu cầu trên chi tiết theochecklist đã được xây dựng theo Phụ lục 02 Checklist khảo sát đánh giá rủi rocho dữ liệu viễn thông Qua đó thấy được điểm mạnh, điểm yếu của tổ chứchiện tại, các biện pháp kiểm soát đã và đang làm tốt sẽ tiếp tục duy trì Các biệnpháp còn thiếu chưa triển khai hoặc triển khai chưa đầy đủ thì cần được triểnkhai bổ sung và tăng cường Do vậy dựa vào kết quả đánh giá khảo sát tại Tổngcông ty mạng lưới, em xin được đề xuất ba giải pháp chính triển khai cho Tổngcông tý về Quản lý rủi ro an toàn thông tin đây là phương pháp xuyên suốt giúpcho tổ chức sớm nhận ra các điểm rủi ro về ATTT mình ở đâu từ đó sẽ có lựachọn biện pháp kiểm soát ATTT Từ việc sớm đánh giá nhìn nhận ra rủi ro sẽgiúp tổ chức chủ động có biện pháp phù hợp giảm thiểu rủi ro xảy ra Tuy nhiênphương pháp này chưa được thực hiện triển khai cho nội bộ tổng công ty mà chỉkhi xảy ra rủi ro mới thực hiện hành động xử lý sự cố, vấn đề Nghiên cứu xâydựng phương pháp luận, công cụ, mô hình tổ chức để thực hiện việc quản lý rủi

ro ATTT cho đơn vị

Rủi ro được hiểu là sự không chắc chắn và là khả năng xảy ra kết qur khôngmong muốn Trong các khả năng xảy ra có ít nhất một khả năng là kết quảkhông mong muốn có thể đem lại tổn thất hay thiệt hại cho đơn vị.4 Quản lý rủi

ro an toàn thông tin là quản lý các khả năng xảy ra kết quả không mong muốnliên quan tới ATTT

Nhóm biện pháp thứ hai cần đẩy mạnh triển khai và công tác ATTT cho hoạtđộng công tác vận hành Xây dựng bộ quy trình, công cụ trong công tác quản lývận hành đảm bảo bảo mật, tin cậy và sẵn sàng

Nhóm biện pháp thứ ba nhằm tăng cường tính sẵn sàng, liên tục của hệ thốnggiảm thời gian gián đoạn khi xảy ra sự cố hoặc tình huống bất lợi không mongmuốn xảy ra

Chi tiết việc xây dựng giải pháp triển khai cho ba biện pháp trên được trình bày

cụ thể trong chương ba

4https://www.praxiom.com/iso-27000-definitions.htm#Risk

CHƯƠNG 3 GIẢI PHÁP NÂNG CAO NĂNG LỰC QUẢN LÝ AN TOÀN

THÔNG TIN DỮ LIỆU VIỄN THÔNG

Như đã phân tích ở chương hai, để triển khai việc quản trị ATTT dữ liệu, tổchức xây dựng hệ thống quản trị ATTT, mô hình lựa chọn là phù hợp với đặcthù đơn vị là dựa trên tiêu chuẩn quản lý hệ thống An toàn thông tin theo tiêuchuẩn ISO 27001:2013

Tiêu chuẩn này đã được chuẩn bị nhằm cung cấp một mô hình để thiết lập, thựchiện, vận hành, theo dõi, xem xét, duy trì và cải tiến hệ thống quản lý an toànbảo mật thông tin (ISMS) Việc chấp nhận ISMS phải là quyết định mang tínhchiến lược của một tổ chức Việc thiết kế và thực hiện ISMS của tổ chức chịuảnh hưởng bới các cần thiết và các mục tiêu, các yêu cầu an toàn bảo mật, cácquá trình tuyển dụng và qui mô và cấu trúc của tổ chức Các yếu tố này cùngvới các hệ thống hỗ trợ của chúng có thể xảy ra thay đổi theo thời gian

Tiêu chuẩn này sử dụng cách tiếp cận theo quá trình để thiết lập, thực hiện, vậnhành, theo dõi, xem xét, duy trì và cải tiến ISMS của một tổ chức Tổ chức cầnnhận biết và quản lý nhiều hoạt động nhằm thực hiện chức năng một cách hiệuquả Bất kỳ hoạt động nào sử dụng các nguồn lực và được quản lý nhằm biếncác đầu vào thành các đầu ra được coi như một quá trình Thông thường các đầu

ra của một quá trình hình thành đầu vào trực tiếp cho quá trình tiếp theo Việc ápdụng một hệ thống các quá trình của một tổ chức, đồng thời với việc nhận biết

và tương tác giữa các quá trình đó, và việc quản lý chúng được xem như mộtcách tiếp cận theo quá trình

Tiêu chuẩn này có thể áp dụng cho tất cả các loại hình tổ chức (như các doanhnghiệp, các cơ quan chính phủ, tổ chức phi lợi nhuận) Tiêu chuẩn này chỉ định

rõ các yêu cầu để thiết lập, thực hiện, vận hành, theo dõi, xem xét, duy trì và cảitiến ISMS dạng văn bản trong bối cảnh toàn bộ các rủi ro trong công việc của tổchức Nó chỉ định rõ các yêu cầu thực hiện các kiểm soát an toàn bảo mật tuỳbiến cho các cần thiết của từng tổ chức hay các bộ phận riêng rẽ

ISMS được thiết kế nhằm đảm bảo rằng sự lựa chọn các kiểm soát an toàn bảomật thích hợp và tương xứng nhằm bảo vệ các tài sản thông tin và đưa bằngchứng tin cậy cho các bên quan tâm

3.1 PHƯƠNG PHÁP QUẢN LÝ RỦI RO

Để xây dựng và triển khai phương pháp quản lý rủi ro cho tổ chức cần triển khai

áp dụng quản lý rủi ro trên cả ba yếu tố quy trình, công cụ và con người

Trong luận văn này em đã nghiên cứu xây dựng phương pháp luận cho việcquản lý đánh giá và xử lý rủi ro, các nguyên tắc khi thực hiện quản lý rủi ro.Khảo sát mô hình hoạt động đơn vị để xây dựng mô hình tổ chức với các đơn vịphòng ban chức năng phù hợp với tổ chức để đi vào vận hành hệ thống quản lýrủi ro Tiếp đó thực hiện triển khai phương pháp, mô hình quản lý rủi ro vàothực tế để tiếp tục xây dựng công cụ quản lý các rủi ro sau khi đánh giá báo cáorủi ro phát hiện ra.

Trước tiên cần xác định cách thức đánh giá rủi ro của tổ chức: Nhận biếtphương pháp đánh giá rủi ro phù hợp với ISMS, và các yêu cầu đã xác định về

an toàn bảo mật thông tin kinh doanh, qui chế, luật định Xây dựng các tiêu chíchấp nhận rủi ro và nhận biết các mức rủi ro có thể chấp nhận được.5

Nguyên lý quản lý rủi ro cho tổ chức

Xây dựng nguyên tắc về việc quản lý rủi ro cho TCT như sau: Công tác QLRRphải đảm bảo tạo ra và bảo vệ giá trị, duy trì, phát triển kinh doanh bền vữngtrong dài hạn đối với hoạt động của tổ chức theo các nguyên tắc quản trị sau:Quản trị rủi ro phải nằm trong chiến lược chung của tổ chức, gắn liên với cáchoạt động chủ chốt, đi cùng với các hoạt động để tạo ra giá trị phát triển Tổchức cần xây dựng nguyên tắc về việc chấp nhận rủi ro cho các hoạt động củamình đó chính là cácrủi ro được phép trong phạm vi khẩu vị rủi ro đã được xácđịnh Để biết được rủi ro nào là chấp nhận được trong khẩu vị chấp nhận đượcthì các rủi ro khi phát hiện ra sẽ được đánh giá, đo lường mức độ nghiêm trọngcủa rủi ro Việc quyết định các rủi ro được xử lý như thế nào sẽ được đánh giátính toán dựa trên chi phí tổ chức cần bỏ ra để xử lý rủi ro và ảnh hưởng rủi ro

đó đem đến nếu xảy ra Đảm bảo nguyên tắc hài hòa giữa mức độ rủi ro và lợinhuận Tuân thủ và đảm bảo tính độc lập về chức năng giữa ba tuyến phòng thủ,kiểm soát rủi ro Tuân thủ nguyên tắc phân tán rủi ro (phi tập trung, tránh,chuyển giao, giảm thiểu rủi ro).Tính tới mối tương quan giữa các rủi ro, tức rủi

ro này có liên quan đến rủi ro khác Quy trình quản trị rủi ro phải được duy trìliên tục để phản ứng kịp thời với thay đổi của môi trường kinh doanh Rủi rođược chấp nhận phải có nguồn được bù đắp đầy đủ Bảo đảm nguyên tắc kiểmsoát rủi ro thận trọng trọng việc triển khai sản phẩm mới Hệ thống văn bảnquản lý QLRR gồm các cấp văn bản

5International Organization for Standardization Risk management – Guideline ISO/IEC 31000:2018

Hình 3.1 Tháp quản lý rủi ro của tổ chức viễn thông

Trên cùng là các nguyên tắc về quản trị rủi ro, cơ cấu mô hình tổ chức cho việcvận hành hệ thống quản lý rủi ro Dưới đó là khung khẩu vị rủi ro, xác định mụctiêu, nguyên tắc chiến lược, nguyên tắc quản lý rủi ro, chỉ số khẩu vị rủi ro của

tổ chức Tiếp theo tầng ba của tháp quản lý rủi ro là xây dựng bộ quy trình vềquản lý rủi ro, các bước để nhận biết rủi ro, đo lường và đánh giá rủi ro, xử lý,kiểm soát để giảm thiểu rủi ro xảy ra và các hoạt động báo cáo định kỳ về côngtác quản lý rủi ro Sau khi triển khai áp dụng đánh giá rủi ro thì ta sẽ có danhsách các rủi ro của đơn vị, danh sách rủi ro liên tục được cập nhật thường xuyêntheo định kỳ khi có thay đổi trạng thái, kết quả về việc xử lý rủi ro, các rủi romới phát sinh Qua đó để xây dựng mô trường có văn hoá quản lý rủi ro trongmọi hoạt động Mọi người khi thực hiện cần có đánh giá để lường trước khảnăng rủi ro có thể xảy ra để có hành động khắc phục, phòng ngừa [2]

Mô hình tổ chức và phương pháp quản lý rủi ro

Để áp dụng được tháp quản lý rủi ro theo hình 3.1 một cách hiệu quả thì ta cần xâydựng mô hình tổ chức có phân công trách nhiệm rõ ràng liên quan đến công tácquản lý rủi ro Trong luận văn này, sau khi đánh giá hoạt động của đơn vị, em đánhgiá được cần thiết phải xây dựng áp dụng mô hình ba tuyến phòng thủ rủi ro nhưmột số hệ thống quản lý rủi ro đã áp dụng cho ngân hàng Nhưng tại TCT mạnglưới thì cần tích cực phát huy tối đa và rất mạnh công tác quản lý đánh giá