Đánh giá rủi ro tài sản thông tin theo tiêu chuẩn ISO IEC 27001 2005 tại công ty Cổ phần hạ tầng Viễn thông CMC

Do đó, mục tiêu là phân tích hiện trạng hệ thống an toàn thông tin thực tế tại CMC TI, để đưa ra cách thức và phương pháp phân loại tài sản thông tin, làm cơ sở đánh giá mức độ bảo vệ dự

Đại Học Quốc Gia Tp Hồ Chí Minh

CÔNG TRÌNH ĐƯỢC HOÀN THÀNH TẠI TRƯỜNG ĐẠI HỌC BÁCH KHOA ĐẠI HỌC QUỐC GIA TP HỒ CHÍ MINH

Cán bộ hướng dẫn khoa học: TS NGUYỄN THÚY QUỲNH LOAN

ĐẠI HỌC QUỐC GIA TP HCM CỘNG HOÀ XÃ HỘI CHỦ NGHĨA VIỆT NAM

TRƯỜNG ĐẠI HỌC BÁCH KHOA Độc Lập - Tự Do - Hạnh Phúc

Tp.HCM, ngày………tháng……….năm………

NHIỆM VỤ KHÓA LUẬN THẠC SĨ

Họ và tên học viên: NGUYỄN THANH ĐỨC Giới tính: Nam / Nữ  Ngày, tháng, năm sinh: 16/02/1986 Nơi sinh: Quảng Ngãi

Chuyên ngành: Quản Trị Kinh Doanh MSHV: 12170867

Khoá: 2012

1- TÊN ĐỀ TÀI: ĐÁNH GIÁ RỦI RO TÀI SẢN THÔNG TIN THEO TIÊU CHUẨN

ISO/IEC 27001:2005 TẠI CÔNG TY CỔ PHẦN HẠ TẦNG VIỄN THÔNG CMC

2- NHIỆM VỤ LUẬN VĂN:

 Phân tích thực trạng hệ thống đảm bảo an toàn thông tại CMC TI

 Xác định các tiêu chí đánh giá tài sản thông tin và rủi ro theo tiêu chuẩn ISO/IEC 27001:2005

 Phân tích, đánh giá mức độ rủi ro các loại tài sản thông tin tại bộ phận Trung tâm

dữ liệu

 Đưa ra các giải pháp giảm thiểu, phòng ngừa và khắc phục các rủi ro của tài sản thông tin

3- NGÀY GIAO NHIỆM VỤ: 25/11/2013

4- NGÀY HOÀN THÀNH NHIỆM VỤ: 31/03/2014

5- HỌ VÀ TÊN CÁN BỘ HƯỚNG DẪN: TS NGUYỄN THÚY QUỲNH LOAN

Nội dung và đề cương Luận văn thạc sĩ đã được Hội Đồng Chuyên Ngành thông qua

(Họ tên và chữ ký) (Họ tên và chữ ký)

LỜI CÁM ƠN

Đầu tiên em xin gởi lời cảm ơn chân thành tới Quý thầy cô trong Khoa Quản lý Công nghiệp của Trường Đại học Bách Khoa Tp Hồ Chí Minh, từ chương trình chuyển đổi đến khóa học chính thức Thạc sĩ Quản trị kinh doanh tại trường Những tri thức và kinh nghiệm của Quý thầy cô là những nguồn kiến thức khá bổ ích đối với em Nhờ những kiến thức đó, đã giúp em định hướng phát triển thành một bài khóa luận hoàn chỉnh, và giúp em định hướng công việc một cách tốt hơn Đặc biệt,

em xin cảm ơn nhiều nhất đến TS Nguyễn Thúy Quỳnh Loan Vì trong thời gian thực hiện đề tài, Cô luôn theo sát tiến độ thực hiện đề tài của em để đưa ra những chỉ dẫn, góp ý tận tình, và phê bình khắt khe nhằm giúp em hoàn thiện khóa luận tốt nhất

Và em cũng xin cảm ơn đến các bạn đồng nghiệp trong Công ty Cổ phần Hạ tầng viễn thông CMC, đã quan tâm và chia sẻ những kinh nghiệm thực tế, cung cấp các

dữ liệu quan trọng và tin cậy để em thực hiện các nghiên cứu trong quá trình thực hiện khóa luận của mình

Cuối cùng, em gởi lời cảm ơn đến gia đình, vì đây chính là nguồn động viên tinh thần quan trọng, giúp em có thêm động lực theo học hết chương trình, và luôn bên cạnh em để chia sẻ những nổi lo, nhằm giúp em hoàn thành chương trình học một cách thuận lợi

Tuy nhiên, với những kiến thức và sự hiểu biết còn nhiều hạn chế của mình, nên trong bài luận này chắc chắn sẽ không thiếu những sai sót Kính mong Quý thầy cô góp ý để em có thể hoàn thiện bài khóa luận

TÓM TẮT ĐỀ TÀI

Trong bối cảnh công nghệ thông tin được ứng dụng sâu rộng vào mọi lĩnh vực đời sống xã hội Nên nhiều tổ chức, cơ quan, doanh nghiệp hoạt động đều lệ thuộc hoàn toàn vào hệ thống máy tính Khi hệ thống máy tính này gặp các sự cố thì hoạt động của các đơn vị bị ảnh hưởng một cách nghiêm trọng và thậm chí có thể bị tê liệt hoàn toàn…

Tại Công ty Cổ phần Hạ tầng viễn thông CMC (CMC TI) hiện nay việc xử lý công việc chính diễn ra hoàn toàn trên môi trường mạng, đây là nguy cơ rất lớn gây ra mất an toàn thông tin, dữ liệu cá nhân, dữ liệu chung của doanh nghiệp và khách hàng Mặc dù, CMC TI có đưa ra một số chính sách để phòng chống, ngăn chặn, nhằm giảm thiểu rủi ro mất mát thông tin xuống một mức thấp nhất có thể Tuy nhiên, với sự phát triển nhanh chóng về công nghệ thông tin thì hệ thống thông tin của CMC TI ngày càng phải đối mặt với những khó khăn, thách thức lớn do các nguy cơ gây mất an toàn thông tin từ bên ngoài cũng như nội bộ trong công ty gây

ra

Giải pháp toàn diện và hiệu quả nhất để giải quyết vấn đề đảm bảo an toàn thông tin cho CMC TI là áp dụng Hệ thống quản lý an toàn thông tin theo tiêu chuẩn ISO/IEC 27001:2005, để bảo vệ các tài sản thông tin thuộc CMC TI và của khách hàng CMC

TI Do đó, mục tiêu là phân tích hiện trạng hệ thống an toàn thông tin thực tế tại CMC TI, để đưa ra cách thức và phương pháp phân loại tài sản thông tin, làm cơ sở đánh giá mức độ bảo vệ dựa theo ba thuộc tính là bảo mật, toàn vẹn, sẵn sàng Sau

đó, thực hiện đánh giá mức độ rủi ro tài sản dựa trên hai tiêu chí là khả năng xảy ra

và mức độ ảnh hưởng của rủi ro Việc phân loại rủi ro để đánh giá mức độ ưu tiên

xử lý rủi ro, và cơ sở phân loại rủi ro được đánh giá theo tiêu chí thời gian mất an toàn thông tin và giá trị thiệt hại do một điểm yếu có nguy cơ gây ra mất an toàn thông tin cho toàn bộ hệ thống thông tin của CMC TI Và cuối cùng là xử lý rủi ro theo một số biện pháp bảo vệ cho tất cả các loại tài sản thông tin của CMC TI

Now, CMC Telecommunications Infrastructure Joint Stock Corporation (CMC TI)

is processing main works which is taking place entirely in the network environment, this is a huge risk which cause insecure information, personal data, general data of enterprises and customers Although, CMC TI has launched a number of policies to take precausion, prevent, to minimize the risk of information loss to the lowest possible level However, with the rapid development of information technology, the information system of CMC TI increasingly faces difficulties, big challenges due to the danger of information safe loss from the outside as well as internal company caused

Comprehensive solution and the best effectively to solve the problem of safety information ensuring for CMC TI is to apply information security management system ISO/IEC 27001:2005, to protect the information assets of CMC and customers Therefore, the objective is to analyze the current state of information security systems at CMC TI, to offer ways and methods of information asset classification as a basis to assess the level of protection it based on three attributes

as security, integrity, availability Then, determine the risk level of information asset based on two criteria are likely to occur and affect level of risk The risk classification to assess the level of risk treatment priorities, and the classification of risk is assessed according to two criteria of unsafe time information and the value of damage due to a weakness which may cause the insecure information for the entire information system of CMC TI And finally, is to handle risks in a number of safeguards for all types of information assets of CMC TI

MỤC LỤC

LỜI CÁM ƠN

TÓM TẮT ĐỀ TÀI

ABSTRACT

MỤC LỤC

DANH MỤC HÌNH VẼ

DANH MỤC BẢNG BIỂU

DANH MỤC CHỮ VIẾT TẮT

CHƯƠNG 1: GIỚI THIỆU 1

1.1 GIỚI THIỆU TỔNG QUAN 1

1.2 LÝ DO HÌNH THÀNH ĐỀ TÀI 1

1.3 MỤC TIÊU NGHIÊN CỨU 2

1.4 Ý NGHĨA ĐỀ TÀI 3

1.5 PHƯƠNG PHÁP NGHIÊN CỨU 3

1.6 PHẠM VI NGHIÊN CỨU 6

1.7 BỐ CỤC ĐỀ TÀI 6

CHƯƠNG 2: CƠ SỞ LÝ THUYẾT 8

2.1 KHÁI QUÁT VỀ ISO/IEC 27001:2005 8

2.2 HTQL ANTT THEO CHUẨN ISO/IEC 27001:2005 9

2.2.1 Hệ thống quản lý an ninh thông tin (ISMS) 9

2.2.2 Các yêu cầu đối với ISMS 10

2.2.3 Quy trình triển khai ISMS 11

2.2.4 Thuận lợi và khó khăn khi triển khai ISO/IEC 27001:2005 12

2.3 QUẢN LÝ RỦI RO 13

2.3.1 Các khái niệm 13

2.3.2 Quá trình quản lý rủi ro 13

2.3.3 Các kỹ thuật quản lý rủi ro 14

2.3.4 Lợi ích của quản lý rủi ro 15

2.4 MÔ HÌNH AN TOÀN THÔNG TIN C-I-A 16

2.4.1 Hàm giá trị tài sản 16

2.4.2 Đánh giá mức độ rủi ro 19

2.5 KHUNG NGHIÊN CỨU 20

CHƯƠNG 3: THỰC TRẠNG HTQL ANTT TẠI CMC TI 22

3.1 GIỚI THIỆU CÔNG TY 22

3.1.1 Vài nét sơ lược về Công ty 22

3.1.2 Sơ đồ tổ chức 22

3.1.3 Tầm nhìn và sứ mệnh 22

3.1.4 Tình hình hoạt động chất lượng 23

3.2 THỰC TRẠNG AN TOÀN THÔNG TIN TẠI CMC TI 24

3.2.1 Nguyên nhân từ phía con người 24

3.2.2 Nguyên nhân từ phía chính sách 24

3.2.3 Nguyên nhân từ phía công nghệ 25

3.3 CHỨC NĂNG VÀ HOẠT ĐỘNG CỦA DC 26

CHƯƠNG 4: ĐÁNH GIÁ VÀ BIỆN PHÁP KIỂM SOÁT RỦI RO TÀI SẢN 28 4.1 PHÂN LOẠI TÀI SẢN 28

4.2 XÁC ĐỊNH MỨC ĐỘ BẢO VỆ TÀI SẢN 29

4.2.1 Tính bảo mật 30

4.2.2 Tính toàn vẹn 32

4.2.3 Tính sẵn sàng 35

4.3 ĐÁNH GIÁ RỦI RO TÀI SẢN THÔNG TIN 37

Kết quả đánh giá rủi ro tài sản thông tin 38

4.3.1 Khả năng xảy ra 38

4.3.2 Mức độ ảnh hưởng 39

4.4 PHÂN LOẠI RỦI RO 41

4.5 BIỆN PHÁP KIỂM SOÁT RỦI RO 43

4.6 ĐỀ XUẤT QUY TRÌNH ĐÁNH GIÁ RỦI RO 47

CHƯƠNG 5: KẾT LUẬN VÀ KIẾN NGHỊ 49

5.1 CÁC KẾT QUẢ CHÍNH CỦA ĐỀ TÀI 49

5.2 HẠN CHẾ VÀ HƯỚNG NGHIÊN CỨU TIẾP THEO 50

TÀI LIỆU THAM KHẢO

PHỤ LỤC

PHỤ LỤC A: Các điểm yếu và đe dọa đối với hệ thống thông tin của CMC TI PHỤ LỤC B: Biên bản làm việc giữa Ban ISO 27000 với Vinastar

LÝ LỊCH TRÍCH NGANG

DANH MỤC HÌNH VẼ

Hình 1.1: Quá trình nghiên cứu 4

Hình 2.1: HTQL ANTT của ISO/IEC 27001:2005 9

Hình 2.2: Mô hình PDCA của ISMS 12

Hình 2.3: Quy trình quản lý rủi ro 14

Hình 2.4: Khung nghiên cứu đánh giá rủi ro tài sản thông tin 20

Hình 3.1: Mô hình tổ chức của CMC TI 22

Hình 4.1: Quy trình đánh giá rủi ro của CMC TI 48

DANH MỤC BẢNG BIỂU

Bảng 2.1: Mức lượng hóa tính bảo mật của tài sản 17

Bảng 2.2: Mức lượng hóa tính toàn vẹn của tài sản 17

Bảng 2.3: Mức lượng hóa tính sẵn sàng tài sản 18

Bảng 2.4: Giá trị tài sản thông tin 18

Bảng 2.5: Mức lượng hóa khả năng xảy ra rủi ro 20

Bảng 2.6: Lượng hóa mức độ ảnh hưởng của rủi ro 20

Bảng 3.1: Các giai đoạn triển khai dự án ISO 27001 23

Bảng 3.2: Danh sách các loại tài sản thuộc DC 26

Bảng 4.1: Phân nhóm tài sản thông tin của DC 28

Bảng 4.2: Tính bảo mật của tài sản 30

Bảng 4.3: Tính toàn vẹn của tài sản 32

Bảng 4.4: Tính sẵn sàng của tài sản 35

Bảng 4.5: Tổng hợp xác định mức độ bảo vệ tài sản của DC 36

Bảng 4.6: Khả năng xảy ra rủi ro 38

Bảng 4.7: Mức độ ảnh hưởng của rủi ro 39

Bảng 4.8: Tổng hợp đánh giá rủi ro tài sản của DC 40

Bảng 4.9: Tổng hợp phân loại rủi ro tại DC 43

Bảng 4.10: Giải pháp cho Nhóm rủi ro Thấp 44

Bảng 4.11: Giải pháp cho Nhóm rủi ro Trung bình 44

Bảng 4.12: Giải pháp cho Nhóm rủi ro Cao 45

Bảng 4.13: Giải pháp cho Nhóm rủi ro Rất cao 46

 NOC (Network Operation Center): Trung tâm điều hành mạng

 ANTT (information security): An ninh thông tin

 HTQL: Hệ thống quản lý

 DC (Data Center): Trung tâm dữ liệu

 BGĐ: Ban Giám Đốc

 CBNV: Cán bộ nhân viên

CHƯƠNG 1: GIỚI THIỆU

Trong môi trường cạnh tranh bằng thông tin như hiện nay thì việc an ninh thông tin trở thành vấn đề vô cùng quan trọng Việc vượt lên phía trước, nắm bắt cơ hội thị trường, cập nhật kiến thức, khoa học, công nghệ, định hướng kinh doanh, hoạch định chiến lược, quyết định một vấn đề hay giải quyết một sự vụ, tiếp cận với khách hàng…tất cả đều cần đến thông tin Ai có thông tin, người đó có lợi thế trong việc dành chiến thắng

Khi công nghệ thông tin càng phát triển, máy tính, internet rồi các phương tiện truyền tải thông tin càng hiện đại và tiện dụng, con người càng phụ thuộc vào máy móc thì nguy cơ rò rỉ, thất thoát thông tin ngày càng cao, dẫn đến những thiệt hại khó lường Chỉ cần một dữ liệu bị sửa đổi, hoặc bị đánh cắp, hay bị mất sẽ ảnh hưởng tới hoạt động kinh doanh của doanh nghiệp hoặc khách hàng của doanh nghiệp đó Chính vì vậy, vấn đề quản lý thông tin được đưa ra trao đổi rất nhiều trên các diễn đàn hiện nay và an ninh mạng hiển nhiên là những câu chuyện thời sự hàng ngày

Năm 2005, ISO/IEC JTC 1(Ban kỹ thuật chung trong lĩnh vực công nghệ thông tin giữa ISO – Tổ chức tiêu chuẩn hóa quốc tế và IEC – Ban kỹ thuật điện quốc tế) đã cho ra đời tiêu chuẩn ISO/IEC 27001 Tiêu chuẩn này được xây dựng nhằm cung cấp một mô hình để thiết lập, thực hiện, điều hành, theo dõi, xem xét, duy trì và cải tiến Hệ thống quản lý an ninh thông tin (ISMS), giúp cho việc thấu hiểu nhu cầu và các yêu cầu về quản lý an toàn thông tin của tổ chức, sự cần thiết của việc thiết lập chính sách, các mục tiêu an toàn thông tin và nhận biết các phương pháp kiểm soát thực hiện và điều hành để quản lý các rủi ro về an toàn thông tin của tổ chức

Công ty Cổ phần Hạ tầng viễn thông CMC (CMC TI) là một đơn vị hoạt động trong lĩnh vực viễn thông, cung cấp các dịch vụ: dữ liệu trực tuyến, truyền dẫn số liệu trong nước và quốc tế, và các dịch vụ viễn thông chất lượng cao khác Do đó, hệ

thống quản lý chất lượng của Công ty cũng cần phải tuân thủ theo những tiêu chuẩn chung của ngành viễn thông

Trước khi sáp nhập công ty CMC Telecom vào CMC TI, thì CMC Telecom đã có chứng nhận TCVN ISO/IEC 27001:2009 và TCVN ISO 9001:2008 nhưng đều hết hạn, còn CMC TI có thực hiện HTQLCL theo tiêu chuẩn TCVN ISO 9001:2008, nhưng chưa được chứng nhận Tuy nhiên, sau gần 3 năm thực hiện theo tiêu chuẩn TCVN ISO 9001:2008, CMC TI vẫn không đáp ứng được các yêu cầu chung của ngành và đặc biệt là các yêu cầu ngày càng cao của khách hàng Bên cạnh đó, để tạo sức cạnh tranh tốt đối với các Công ty cùng ngành ở trong và ngoài nước thì việc có chứng nhận ISO/IEC 27001:2005 sẽ giúp cho Công ty có thể tham gia đấu thầu các hợp đồng có giá trị lớn hơn

Hiện nay, phần lớn các dịch vụ cho thuê đặt máy tính chủ, dịch vụ quản lý dữ liệu của CMC TI, đều là các khách hàng doanh nghiệp Do đó, việc đảm bảo an toàn thông tin của CMC TI, luôn được các khách hàng hiện tại và tương lai của CMC TI quan tâm kỹ lưỡng, trước khi mua dịch vụ và sử dụng tiếp dịch vụ của CMC TI Vì những khách hàng này luôn xem thông tin của họ là tài sản quan trọng, đóng vai trò quyết định sự thành bại của họ Cho nên, các thông tin nhạy cảm của khách hàng và của CMC TI luôn cần được bảo vệ chặt chẽ trước những đe dọa ở tầm rộng, đảm bảo sự liền mạch, giảm thiểu rủi ro và tăng cường năng lực quản lý, kinh doanh, nghiệp vụ Áp dụng các tiêu chuẩn đảm bảo an toàn thông tin theo tiêu chuẩn ISO/IEC 27001:2005 là biện pháp rất cần thiết nhằm bảo vệ các tài sản thông tin thuộc CMC TI và cho khách hàng của CMC TI, để tăng thêm sự tin tưởng của khách hàng và các đối tác vào những gói dịch vụ mà CMC TI đang cung cấp

Đó là lý do hình thành nên đề tài: “Đánh giá rủi ro tài sản thông tin theo tiêu

chuẩn ISO/IEC 27001:2005 tại Công ty Cổ phần Hạ tầng viễn thông CMC”

Mục tiêu chính của đề tài này nhằm giải quyết những vấn đề cơ bản như sau:

 Phân tích thực trạng hệ thống đảm bảo an toàn thông tin tại CMC TI

 Xác định các tiêu chí đánh giá tài sản thông tin và rủi ro theo tiêu chuẩn ISO/IEC 27001:2005

 Phân tích, đánh giá mức độ rủi ro các loại tài sản thông tin tại bộ phận Trung tâm dữ liệu (DC: Data Center)

 Đưa ra các giải pháp giảm thiểu, phòng ngừa và khắc phục các rủi ro của tài sản thông tin

Đề tài này đem lại nhiều ý nghĩa ở nhiều góc độ khác nhau:

 Đối với tác giả nghiên cứu: khóa luận là cơ hội để người nghiên cứu trao dồi, học hỏi thêm nhiều điều mới từ thực tế, đồng thời cũng là cơ hội để xem xét lại các lý thuyết đã được học trong các học kỳ trước đây Qua đó hiểu rõ hơn

về Hệ thống quản lý an toàn thông tin theo tiêu chuẩn ISO/IEC 27001:2005 cũng như hỗ trợ tốt cho công việc hiện tại và tương lai của người nghiên cứu

 Đối với Công ty: đây là cơ hội rà soát lại hiệu quả hoạt động hệ thống ISO 9001:2008, đề xuất giải pháp và phương hướng thực hiện xây dựng hệ thống ISO/IEC 27001:2005 Đồng thời CMC TI cũng có thể xem đây như là tài liệu tham khảo nội bộ khi thực hiện kế hoạch triển khai hệ thống quản lý an toàn thông tin trong Công ty

 Đối với nhà nghiên cứu: khóa luận hy vọng có những đóng góp nhỏ cho những ai muốn tìm hiểu về các Hệ thống quản lý an ninh thông tin đặc biệt trong lĩnh vực viễn thông

Vì đây là một dạng đề tài nghiên cứu ứng dụng nên phương pháp nghiên cứu chủ yếu là phương pháp nghiên cứu định tính, thông qua tình hình thực tế tại CMC TI

Quy trình nghiên cứu cụ thể được trình bày ở Hình 1.1

Nguồn dữ liệu được thu thập để nghiên cứu dựa vào hai nguồn dữ liệu là: sơ cấp và

thứ cấp Dữ liệu sơ cấp được thu thập bằng việc phỏng vấn chuyên gia là Trưởng

Ban ISO 27000, các trưởng Bộ phận/ Trung tâm, Vinastar Trong đó, Vinastar là đơn vị cung cấp dịch vụ tư vấn, đào tạo và đánh giá để hỗ trợ các doanh nghiệp

trong và ngoài nước, áp dụng hệ thống quản lý dựa trên các tiêu chuẩn như: ISO

9001, ISO 27001, ISO 20000…với các chuyên viên Việt Nam và Quốc tế nhiều kinh nghiệm Vinastar là đơn vị trước đây đã tư vấn thành công cho CMC Telecom, nhưng hiện tại CMC Telecom đã sáp nhập với CMC TI và chứng nhận TCVN ISO/IEC 27001:2005 cũng đã hết hạn Cho nên, Vinastar cũng hiểu rõ về hoạt động

và hệ thống thông tin của CMC TI Vì vậy, CMC TI thuê Vinastar để tư vấn xây dựng lại hệ thống ISO 27001 mới

Kết luận - Kiến nghị

tin C-I-A Mục tiêu nghiên cứu

Xây dựng các tiêu chí đánh giá tài sản

và rủi ro

Đánh giá rủi ro của các loại tài sản

thông tin

Đề xuất và lựa chọn giải pháp kiểm

soát/ quản lý rủi ro

Thực hiện thử nghiệm tại DC

Hình 1.1: Quá trình nghiên cứu

Nội dung phỏng vấn được thực hiện theo hình thức trao đổi trực tiếp, dùng các câu hỏi mở để tìm hiểu cách thức đánh giá, và lựa chọn giải pháp cho vấn đề mà CMC

TI đang gặp phải Cụ thể:

- Phỏng vấn Trưởng Ban ISO 27000 các hướng đề xuất giải pháp và phương thức thực hiện kiểm soát rủi ro theo tiêu chuẩn ISO/IEC 27001:2005, và theo đúng mục tiêu của dự án ISO 27000 mà Ban lãnh đạo Công ty đã đề ra

- Phỏng vấn các trưởng Bộ phận/ Trung tâm về tình hình thực hiện công tác đảm bảo an toàn thông tin tại bộ phận này:

 Bộ phận Quản lý cước cho biết: mạng Công ty chậm, không đảm bảo cho công việc Do đó, tính sẵn sàng để đáp ứng công việc quá yếu

 Bộ phận Dịch vụ khách hàng: hệ thống CCBS của Công ty không đảm bảo việc lưu trữ thông tin khách hàng và cơ sở dữ liệu của Bộ phận này Do đó, tính toàn vẹn và sẵn sàng chưa tốt

 Bộ phận Tin học tính cước cho biết thiếu nhân sự và thiết bị để quản

lý hệ thống CCBS Nên tính bảo mật, toàn vẹn và sẵn sàng đều không đảm bảo

 Trung tâm dữ liệu (DC): thiếu nhân sự, hệ thống nguồn điện chưa ổn định…nên sự cố thường xuyên xảy ra và không xử lý kịp thời Trung tâm này cho biết cần thiết phải bổ sung nhân sự, các chính sách và công nghệ để triển khai kịp thời các biện pháp xử lý sự cố, nhằm đảm bảo mục tiêu an toàn cho hệ thống thông tin của CMC TI

 Bộ phận Quản lý chất lượng cho biết tính tuân thủ quy trình và quy định của các bộ phận chưa tốt dẫn đến hệ thống chưa đảm bảo theo đúng tiêu chuẩn ISO

- Phỏng vấn Vinastar: để thu thập thông tin về cách thức thực hiện phân loại tài sản thông tin, xác định mức bảo vệ tài sản, đánh giá rủi ro tài sản, phân loại rủi ro, biện pháp kiểm soát rủi ro Từ đó, làm cơ sở cho việc xây dựng quy trình và những hướng dẫn thực hiện các công tác đó cho các bộ phận trong Công ty

Dữ liệu thứ cấp là các tài liệu, hồ sơ, hướng dẫn liên quan đến quá trình thực hiện

phân loại, đánh giá rủi ro của CMC TI như:

 Quy trình phân loại tài sản

 Quy trình đánh giá rủi ro

 Hướng dẫn thống kê tài sản thông tin

 Hướng dẫn thực hiện đánh giá rủi ro

 Chính sách công nghệ thông tin của Trung tâm dữ liệu

Nội dung của khóa luận chỉ tập trung vào 2 chương của bộ tiêu chuẩn ISO/IEC 27001:2005 để nghiên cứu Cụ thể 2 chương này là: Chương 4 – Đánh giá và xử lý rủi ro, và Chương 7 – Quản lý tài sản Nhằm thống kê, phân tích thực trạng các loại tài sản thông tin, và hệ thống an toàn thông tin tại DC (Data Center) Từ đó, đưa ra giải pháp và cách thức thực hiện các biện pháp kiểm soát rủi ro đối với các tài sản thông tin thuộc DC

Thời gian thu thập thông tin và áp dụng thử nghiệm đánh giá rủi ro theo tiêu chuẩn ISO/IEC 27001:2005 tại DC từ 25/11/2013 đến 30/03/2014

1.7 BỐ CỤC ĐỀ TÀI

Chương 1: Giới thiệu Chương này trình bày tổng quan về nhu cầu triển khai hệ thống quản lý an toàn thông tin tại CMC TI, mục tiêu, ý nghĩa, phạm vi và bố cục của đề tài

thống quản lý an toàn thông tin (ISMS) theo tiêu chuẩn ISO/IEC 27001:2005, cách tiếp cận tiêu chuẩn này theo mô hình PDCA, lý thuyết quản lý rủi ro và mô hình an toàn thông tin C-I-A, để phát hiện ra các nguy cơ tiềm ẩn đối với các loại tài sản thông tin, và mức độ gây ra mất an toàn thông tin trong tổ chức, nhằm có biện pháp khắc phục và ngăn ngừa

hoạt động chất lượng tại CMC TI Giới thiệu chức năng nhiệm vụ và phạm vi hoạt động của DC Phân tích hiện trạng hệ thống ANTT để nhận diện ra các nguy cơ gây mất an toàn thông tin tại CMC TI Liệt kê các loại tài sản thông tin tại bộ phận DC nhằm phục vụ cho công tác phân loại tài sản, đánh giá và kiểm soát rủi ro đối với những loại tài sản này tại DC

Chương 4: Đánh giá và biện pháp kiểm soát rủi ro tài sản Chương này tập trung vào nhiều vấn đề của khóa luận Đưa ra các tiêu chí đánh giá tài sản và rủi ro theo tiêu chuẩn ISO/IEC 27001:2005 Đưa ra các phương pháp và cách thức thực hiện việc xác định tài sản thông tin; xác định mức độ bảo vệ tài sản thông qua ba thuộc tính quan trọng của tài sản như tính bảo mật, tính toàn vẹn và tính sẵn sàng; đánh giá rủi ro tài sản thông tin Từ đó, làm cơ sở để phân loại mức độ rủi ro và đưa ra các biện pháp kiểm soát rủi ro tương ứng với từng loại mức độ rủi ro Và cuối cùng

là đề xuất quy trình quản lý rủi ro đối với các tài sản thông tin thuộc CMC TI, nhằm xây dựng hệ thống ANTT theo đúng tiêu chuẩn của ISO/IEC 27001:2005

khó khăn và những kết quả đạt được, những hạn chế của đề tài nghiên cứu trong quá trình thực hiện Đề xuất những giải pháp và chính sách hỗ trợ giúp thực hiện đề tài nghiên cứu và áp dụng triển khai một cách hiệu quả vào CMC TI

CHƯƠNG 2: CƠ SỞ LÝ THUYẾT

2.1 KHÁI QUÁT VỀ ISO/IEC 27001:2005

ISO/IEC 27001:2005 là một tiêu chuẩn về HTQL ANTT do Tổ chức tiêu chuẩn hóa quốc tế (ISO) phát triển và ban hành Tiêu chuẩn cung cấp một mô hình để thiết lập,

áp dụng, vận hành, giám sát, xem xét, duy trì, cải tiến HTQL ANTT (ISMS) và có thể áp dụng cho hầu hết mọi loại hình tổ chức như: các tổ chức kinh doanh – thương mại, Chính phủ, tổ chức phi lợi nhuận

TCVN ISO/IEC 27001:2009 được phát triển từ tiêu chuẩn quốc tế về hệ thống quản

lý an toàn thông tin ISO/IEC 27001:2005 (trên nền tiêu chuẩn BS 7799:1998-2000 của Anh) nhằm đáp ứng yêu cầu quản lý thông tin trong bối cảnh phát triển nhanh chóng của công nghệ thông tin, máy tính và mạng Internet trên thế giới Do đó, TCVN ISO/IEC 27001:2009 hoàn toàn tương đương với tiêu chuẩn quốc tế ISO/IEC 27001:2005

Các định nghĩa liên quan đến HTQL ANTT ISO/IEC 27001:2005 (Tổ chức tiêu chuẩn hóa quốc tế, 2005):

 Thông tin là tài sản, cũng như các loại tài sản quan trọng khác có giá trị đối với tổ chức và cần được bảo vệ thích hợp

 Tính bảo mật là tính chất đảm bảo thông tin không sẵn sàng và phơi bày trước

cá nhân, thực thể và các tiến trình không được phép Ví dụ như: khóa cửa, mật khẩu…

 Tính toàn vẹn là tính chất đảm bảo sự chính xác và đầy đủ của tài sản Ví dụ: quy định…

 Tính sẵn sàng là tính chất đảm bảo mọi thực thể được phép có thể truy cập và

sử dụng theo yêu cầu Ví dụ: Lưu trữ dữ liệu, bảo trì thiết bị…

 An ninh thông tin (information security) là sự duy trì tính bảo mật, tính toàn vẹn, và tính sẵn sàng của thông tin; ngoài ra còn có thể bao hàm một số tính chất khác như: xác thực, kiểm soát được, không từ chối và tin cậy

 HTQL ANTT là một phần của hệ thống quản lý toàn diện, dựa trên các rủi ro

có thể xuất hiện trong hoạt động của tổ chức để thiết lập, triển khai, điều hành, giám sát, soát xét, duy trì và cải tiến an toàn thông tin

2.2.1 Hệ thống quản lý an ninh thông tin (ISMS)

HTQL ANTT (ISMS) được xem là trái tim của ISO/IEC 27001:2005 Một ISMS phải quản lý tất cả các mặt của ANTT bao gồm con người, các quy trình và các hệ thống công nghệ thông tin Điều cốt lõi để có một ISMS thành công là phải dựa trên đánh giá phản hồi để cung cấp sự cải tiến liên tục, và lấy cách tiếp cận có cấu trúc

để quản lý tài sản và rủi ro

Theo ISO/IEC 27001:2005 (Tổ chức tiêu chuẩn hóa quốc tế, 2005), HTQL ANTT

gồm 12 chương từ A.4 đến A.15, 39 mục tiêu kiểm soát, và 133 phương pháp kiểm soát

A.5 - Chính sách an toàn A.6 - Tổ chức đảm bảo an toàn thông tin

A.7 - Quản lý tài sản

A.8 - Đảm bảo an

toàn nguồn nhân

lực

A.9 - Đảm bảo an toàn vật lý và môi trường

A.10 - Quản lý truyền thông và điều hành A.11 - Quản lý truy cập

A.12 - Tiếp nhận, phát triển và duy trì các hệ thống thông tin

A.13 - Quản lý các sự cố an toàn thông tin A.14 - Quản lý sự liên tục của hoạt động nghiệp vụ

A.15 - Sự tuân thủ A.4 - Đánh giá và xử lý rủi ro

Hình 2.1: HTQL ANTT của ISO/IEC 27001:2005

Nghiên cứu chính tập trung trong tài liệu ISO/IEC 27001:2005 của Tổ chức tiêu chuẩn hóa quốc tế (2005) là hướng dẫn đánh giá rủi ro và xử lý rủi ro (mục A.4), cách thức quản lý tài sản (mục A.7) Cụ thể:

 A.4 – Đánh giá và xử lý rủi ro

 Đánh giá rủi ro an toàn: xác định, định lượng và phân loại ưu tiên các rủi ro nhằm phục vụ cho việc quản lý các rủi ro an toàn thông tin và triển khai các biện pháp quản lý đã được chọn, để chống lại các rủi ro này

 Xử lý các rủi ro an toàn thông tin: xác định tiêu chí để xem xét liệu các rủi ro

có được chấp nhận hay không Các quyết định này được lựa chọn nhằm:

 Áp dụng các biện pháp quản lý thích hợp để giảm bớt rủi ro

 Chấp nhận các rủi ro một cách khách quan và có dụng ý, miễn là chúng thỏa mãn chính sách và tiêu chí chấp nhận rủi ro của tổ chức

 Tránh rủi ro bằng cách không cho phép các hoạt động sẽ làm phát sinh rủi ro

 Chuyển các rủi ro liên đới tới các bên khác như các nhà bảo hiểm hay các nhà cung cấp…

 A.7 – Quản lý tài sản

 Trách nhiệm đối với tài sản: nhằm hoàn thành và duy trì các biện pháp thích hợp đối với tài sản của tổ chức Tất cả các tài sản phải được kê khai và giao cho một người sở hữu Người sở hữu tài sản cần được xác định đối với tất cả các tài sản và được giao trách nhiệm trong việc duy trì các biện pháp quản lý phù hợp

 Phân loại thông tin: nhằm đảm bảo thông tin sẽ có mức độ bảo vệ thích hợp Thông tin cần được phân loại nhằm chỉ ra nhu cầu, độ ưu tiên và mức độ bảo

vệ mong muốn khi xử lý thông tin Thông tin có các mức độ nhạy cảm và độ quan trọng thay đổi Một số danh mục thông tin có thể cần mức bảo vệ cao hơn hoặc cần được xử lý đặc biệt Cần sử dụng cơ chế phân loại thông tin nhằm xác định tập các mức bảo vệ phù hợp và trao đổi về nhu cầu cần có các biện pháp xử lý đặc biệt

2.2.2 Các yêu cầu đối với ISMS

 Thiết lập ISMS

 Xác định phạm vi, giới hạn của ISMS phù hợp với các đặc thù công việc, tổ chức, vị trí, tài sản và công nghệ

 Xác định chính sách an toàn thông tin và cách thức đánh giá rủi ro

 Xác định phương pháp đánh giá rủi ro phù hợp với ISMS, và các yêu cầu

 Xây dựng kế hoạch xử lý rủi ro, thực hiện các phương pháp kiểm soát

 Thực hiện kế hoạch xử lý rủi ro nhằm đạt được các mục tiêu kiểm soát

 Xác định cách thức đo lường hiệu lực của các phương pháp kiểm soát

 Thực hiện các chương trình đào tạo, nhận thức, quản lý các nguồn lực SMS

 Thực hiện các thủ tục và các phương pháp kiểm soát

 Giám sát và xem xét ISMS

 Tiến hành giám sát và xem xét các thủ tục cũng như các kiểm soát khác

 Phát hiện kịp thời các sai sót trong kết quả xử lý

 Giúp quản lý xem xét các hoạt động an toàn có được hiệu quả hay không

 Duy trì và cải tiến hệ thống ISMS

 Tiến hành các cải tiến đã xác định trong ISMS

 Thực hiện các hành động khắc phục và phòng ngừa

 Trao đổi các hành động và các cải tiến cho tất cả các bên quan tâm

 Đảm bảo các cải tiến đạt được những mục tiêu đã dự định

2.2.3 Quy trình triển khai ISMS

 Plan (Thiết lập ISMS): Thiết lập chính sách an ninh, mục tiêu, mục đích, các quá trình và thủ tục phù hợp với việc quản lý rủi ro và cải tiến an ninh thông tin để phân phối các kết quả theo các mục tiêu và chính sách tổng thể của tổ chức

 Do (Triển khai và vận hành ISMS): Thực thi và điều hành các chính sách an ninh, các dấu hiệu kiểm soát, các quá trình và các thủ tục

 Check (Đánh giá và xem xét ISMS): Đánh giá, tìm kiến sự phù hợp, đo lường hiệu năng của quá trình so với chính sách an ninh, mục tiêu, kinh nghiệm thực tế

và báo cáo kết quả cho lãnh đạo xem xét

 Action (Duy trì và cải tiến ISMS): Đưa ra các hành động khắc phục phòng ngừa trên cơ sở các kết quả xem xét cải tiến liên tục hệ thống ISMS

Kết quả quản lý an toàn thông tin

Thiết lập hệ thống ISMS

Triển khai và vận hành hệ thống ISMS

Giám sát và xem xét hệ thống ISMS

Duy trì và cải tiến hệ thống ISMS

 Hạ tầng thông tin an toàn, thông tin được đảm bảo bí mật, toàn vẹn, sẵn sàng

 Đảm bảo hoạt động không bị gián đoạn

 Tăng cường sự tin cậy đối với các đối tác và tổ chức bên ngoài

 Nâng cao hình ảnh của tổ chức

 Thúc đẩy Chính phủ điện tử trong quản lý hành chính nhà nước

 Thúc đẩy tiến trình toàn cầu hóa, hợp tác với quốc tế…

 Khó khăn

Thứ nhất, chi phí để đạt chứng nhận ISO 27001 khá cao, bao gồm các chi phí về

tư vấn, cấp chứng nhận và đặc biệt là chi phí doanh nghiệp phải bỏ ra để thực hiện các biện pháp kiểm soát rủi ro Chi phí để áp dụng ISO 27001 ước tính lớn gấp khoảng 2 – 3 lần so với thực hiện ISO 9000

Thứ hai, trình độ về công nghệ thông tin (CNTT) và nhận thức về an ninh thông

tin của người sử dụng chưa cao cũng gây những trở ngại, khó khăn khi triển khai ISO 27001

Thứ ba, việc triển khai trong nội bộ doanh nghiệp chỉ là hình thức, còn áp dụng

thực tế lại hoàn toàn khác Có nhiều quy định trong công ty (theo ISO 27001) sẽ được đưa ra nhưng có thực sự được áp dụng hay không thì không biết

Thứ tư, một vài doanh nghiệp lớn thì cho rằng họ sẵn sàng cho tiêu chuẩn ISO

27001, nếu các đối tác nước ngoài yêu cầu thì họ sẽ áp dụng ngay Tuy nhiên, khi triển khai ISO 27001 chỉ làm được khoảng 30 – 40% các bước trong quy

trình triển khai tiêu chuẩn này

2.3.1 Các khái niệm

o Theo ISO/IEC 13335, rủi ro là khả năng đe dọa khai thác điểm yếu gây nên

sự mất mát/làm hại đến tài sản hoặc nhóm tài sản trực tiếp hoặc gián tiếp

o Theo ISO/IEC Guide 73:2002, quản lý rủi ro là các hoạt động phối hợp nhằm điều khiển và quản lý một tổ chức trước các rủi ro có thể xảy ra

o Theo ISO/IEC Guide 73:2002, đánh giá rủi ro là quá trình tổng thể gồm phân tích rủi ro và ước lượng rủi ro

o Theo ISO/IEC Guide 73:2002, ước lượng rủi ro là quá trình so sánh rủi ro đã ước đoán với một chỉ tiêu rủi ro đã có, nhằm xác định độ nghiêm trọng của rủi ro

2.3.2 Quá trình quản lý rủi ro

Quá trình quản lý rủi ro (Nguyễn Thúy Quỳnh Loan, 2013): là một nỗ lực chủ động

để nhận biết và quản lý các sự kiện bên trong và các đe dọa bên ngoài có thể ảnh

hưởng đến khả năng thành công của quá trình quản lý vận hành bất kỳ một hệ thống nào đó Từ đó, giúp cho chúng ta dễ dàng hơn trong việc vạch ra các bước thực hiện một quá trình quản lý rủi ro

1 Nhận diện rủi ro Phân tích tài sản hay một nhóm tài sản thông tin để nhận diện ra các nguồn rủi ro

2 Đánh giá rủi ro Đánh giá các rủi ro trên các tiêu chuẩn:

3 Xây dựng các đối sách cho rủi ro

- Phát triển chiến lược để làm giảm mối nguy hại có thể xảy ra

- Phát triển các kế hoạch dự phòng

4 Kiểm soát phản ứng rủi ro

- Thực thi chiến lược rủi ro

- Giám sát và hiệu chỉnh kế hoạch cho những rủi ro mới

- Quản lý thay đổi

Hình 2.3: Quy trình quản lý rủi ro

2.3.3 Các kỹ thuật quản lý rủi ro

 Bước 1: Nhận diện rủi ro

Hình thành một danh mục các rủi ro có thể xảy ra dựa trên việc động não nhóm, nhận diện vấn đề và hồ sơ rủi ro trước đó Tức là, nhận diện rủi ro chung trước khi đi vào các sự kiện cụ thể

 Bước 2: Đánh giá rủi ro

– Phân tích kịch bản (Scenario analysis)

Ma trận đánh giá rủi ro

– Phân tích mối nguy hại và tác động (Failure Mode and Effects Analysis – FMEA)

– Phân tích xác suất: cây quyết định, NPV, PERT

– Phân tích kịch bản bán định lượng (Semiquantitative scenario analysis)

 Bước 3: Xây dựng các đối sách cho rủi ro

– Giảm nhẹ rủi ro: giảm khả năng xảy ra các sự kiện bất lợi hoặc giảm tác động của các sự kiện bất lợi

– Chuyển giao rủi ro: trả thêm kinh phí để chuyển rủi ro cho đối tác khác

– Tránh rủi ro: thay đổi kế hoạch để loại bỏ các rủi ro hay điều kiện

– Chia sẻ rủi ro: phân bổ rủi ro cho các đối tác khác

– Chấp nhận rủi ro: ra quyết định chấp nhận rủi ro

 Bước 4: Kiểm soát phản ứng rủi ro

– Kiểm soát rủi ro

 Thực hiện chiến lược phản ứng rủi ro

 Giám sát việc xuất hiện các rủi ro

 Lập kế hoạch đối phó các tình huống bất ngờ

 Quan sát các rủi ro mới

– Thiết lập hệ thống quản lý thay đổi

 Giám sát, theo dõi và viết báo cáo rủi ro

 Khuyến khích môi trường mở trong tổ chức

 Lặp lại các bài thực hành nhận diện/đánh giá rủi ro

 Phân công và lập tài liệu về trách nhiệm quản lý rủi ro

2.3.4 Lợi ích của quản lý rủi ro

– Tiếp cận vấn đề chủ động hơn là bị động

– Giảm những hậu quả bất ngờ hoặc tiêu cực

– Chuẩn bị cho nhà quản lý dự án tận dụng ưu thế của những rủi ro tích cực (cơ hội)

– Làm cho công tác kiểm soát tương lai tốt hơn

– Cải thiện các cơ hội giúp đạt được mục tiêu kết quả dự án nằm trong ngân sách và thời gian cho phép

Mô hình an toàn thông tin C-I-A được đưa ra trong bài tham luận: “Bộ công cụ hỗ trợ quản lý chính sách an ninh thông tin” của Trung tâm Phát triển phần mềm Đồng Nai (2010) Trong mô hình này, tài sản thông tin của một tổ chức có thể là vật thể hay phi vật thể, các thiết bị dùng để chứa, truyền thông tin hay các thiết bị có ảnh hưởng tới thông tin cũng được xem là tài sản thông tin, trong đó con người được xem là một trong những tài sản thông tin đặc biệt Do đó, giá trị của tài sản thông tin thể hiện mức độ quan trọng của tài sản đó đối với tổ chức Theo tiêu chuẩn ISO/IEC 27001:2005 giá trị của tài sản thông tin được thể hiện qua ba thuộc tính gọi tắt là C-I-A (Confidential – Integrity – Availability)

 Tính bảo mật (Confidential): Các tài sản thông tin nếu bị lộ, hay bị công bố bất hợp lệ có thể: xâm phạm sự riêng tư cá nhân, làm giảm lợi thế cạnh tranh, gây nguy hại cho tổ chức và hệ thống của tổ chức

 Tính toàn vẹn (Integrity): Để gìn giữ thông tin toàn vẹn nhằm bảo vệ độ chính xác và tính toàn vẹn của phương tiện lưu trữ thông tin và phương pháp được sử dụng để xử lý và quản lý nó

 Tính sẵn sàng (Availability): Một tài sản có thể sẵn sàng sử dụng nếu nó có thể truy xuất được và hữu dụng khi cần thiết Trong khuôn khổ tiêu chuẩn này, tài sản bao gồm thông tin, hệ thống, tiện ích, mạng lưới, và máy tính

2.4.1 Hàm giá trị tài sản

Giá trị của tài sản phụ thuộc vào mức độ yêu cầu của ba thuộc tính là tính bảo mật – tính toàn vẹn – tính sẵn sàng Do đó, hàm xác định giá trị tài sản là hàm tổng của ba thuộc tính mật, toàn vẹn và sẵn sàng, như sau:

VTài sản = C (bảo mật) + I (toàn vẹn) + A (sẵn sàng)

Tùy theo từng loại tài sản mà các thuộc tính có mức độ quan trọng khác nhau Mức

độ bảo mật, toàn vẹn và sẵn sàng được lượng hóa để đánh giá giá trị của tài sản thông tin, như sau:

 Đối với thuộc tính bảo mật: các tài sản chứa thông tin tuyệt mật được xác định

ở mức rất cao, tài sản chứa thông tin mật ở cấp phòng ban được xác định ở mức cao, tài sản chứa thông tin nội bộ được xác định ở mức trung bình, tài sản chứa thông tin phổ biến được xác định ở mức thấp, các tài sản thông tin không ảnh hưởng đến tính bảo mật (máy móc thiết bị, …) xác định ở mức không ảnh hưởng

Bảng 2.1: Mức lượng hóa tính bảo mật của tài sản

hóa

Cao (H) (mật cấp Sở/ phòng) 4 Trung bình (M) (thông tin nội bộ) 3

 Đối với thuộc tính toàn vẹn: Được xác định dựa trên cơ sở nếu tài sản thông tin mất tính toàn vẹn sẽ ảnh hưởng đến hoạt động của tổ chức hay hình ảnh của tổ chức

Bảng 2.2: Mức lượng hóa tính toàn vẹn của tài sản

 Đối với thuộc tính sẵn sàng: Được xác định dựa trên cơ sở nếu tài sản thông tin mất tính sẵn sàng sẽ ảnh hưởng đến hoạt động của tổ chức hay hình ảnh của tổ chức

Bảng 2.3: Mức lượng hóa tính sẵn sàng tài sản

Việc lượng hóa tính bảo mật, tính toàn vẹn và tính sẵn sàng được thực hiện theo phương pháp chuyên gia cho điểm, căn cứ trên các tiêu chí trên Các giá trị của tài sản có thể có, như sau:

Bảng 2.4: Giá trị tài sản thông tin

Tính toàn

vẹn

Tính sẵn sàng

từ 3(M) trở lên và một thuộc tính nhỏ hơn 3(M)

 Nhóm giá trị Cao (10 – 15): các tài sản thông tin thuộc nhóm này có ít nhất một thuộc tính có giá trị từ 4(H) trở lên

Bảng 2.5: Mức lượng hóa khả năng xảy ra rủi ro

 Mức độ ảnh hưởng của rủi ro thể hiện sự mất mát của tổ chức/Công ty từ một mối đe dọa

Bảng 2.6: Lượng hóa mức độ ảnh hưởng của rủi ro

Do đó, mức độ rủi ro của một tài sản thông tin sẽ được xác định bởi:

Sau khi xác định các mục tiêu nghiên cứu, kết hợp với nghiên cứu mô hình an toàn thông tin C-I-A và lý thuyết quản lý rủi ro, thì mô hình nghiên cứu đánh giá rủi ro tài sản thông tin theo tiêu chuẩn ISO/IEC 27001:2005 được đưa ra như sau:

Phân loại tài

sản thông tin

Phân nhóm rủi ro

Kiểm soát rủi ro

Đánh giá mức

độ bảo vệ tài sản

Đánh giá mức

độ rủi ro tài sảnHình 2.4: Khung nghiên cứu đánh giá rủi ro tài sản thông tin

Khung nghiên cứu này được đưa ra nhằm tăng cường kiểm soát rủi ro và nâng cao mức độ an toàn cho hệ thống thông tin của CMC TI

Khung nghiên cứu gồm 5 bước như trên hình vẽ:

 Phân loại tài sản thông tin: được xác định theo các tiêu chí như: tầm quan trọng của các tài sản, giá trị nghiệp vụ, mức độ an toàn của tài sản để phân

loại Theo tiêu chuẩn ISO/IEC 27001:2005 (Tổ chức tiêu chuẩn hóa quốc tế, 2005), chia các loại tài sản trong một tổ chức thành 6 nhóm như: tài sản

thông tin, tài sản phần mềm, tài sản vật lý, các dịch vụ, con người, tài sản vô hình Do đó, phải xét vào tình hình thực tế tại mỗi doanh nghiệp để phân nhóm cho phù hợp

 Đánh giá mức độ bảo vệ tài sản: mức độ bảo vệ của tài sản thông tin được quyết định bởi việc phân tích và lượng hóa các giá trị về bảo mật, toàn vẹn

và sẵn sàng của tài sản, cộng thêm các yêu cầu bất kỳ khác đối với tài sản thông tin Giá trị tài sản thông tin chính là tổng 3 giá trị lượng hóa của bảo mật, toàn vẹn và sẵn sàng Đưa ra phương pháp đánh giá giá trị lượng hóa 3 thuộc tính của tài sản nhằm đảm bảo tính phù hợp theo tiêu chuẩn ISO/IEC 27001:2005 và tính thực tế tại doanh nghiệp Điều đó tạo điều kiện thuận lợi

để xác định phương thức xử lý và bảo vệ thông tin một cách an toàn

 Đánh giá mức độ rủi ro tài sản: được đánh giá dựa vào 2 tiêu chí là: khả năng xảy ra và mức độ ảnh hưởng Hai tiêu chí này cũng được phân tích và lượng hóa theo một số phương pháp định tính để đảm bảo tính hợp lý với thực tế tại Công ty Hoặc được đánh giá căn cứ theo tiêu chuẩn chung của ngành

 Phân nhóm rủi ro: định hượng và phân loại ưu tiên các rủi ro dựa trên tiêu chí về chấp nhận rủi ro Việc phân loại ưu tiên nhằm phục vụ cho việc quản

lý các rủi ro gây mất an toàn thông tin và triển khai các biện pháp quản lý để chống lại các rủi ro này

 Kiểm soát rủi ro: là quá trình so sánh các rủi ro đã được ước lượng với chỉ tiêu rủi ro nhằm các định mức độ nghiêm trọng của các rủi ro Quá trình này được thực hiện để phát hiện những thay đổi về các yêu cầu an toàn và tình huống rủi ro khi xảy ra những thay đổi lớn

CHƯƠNG 3: THỰC TRẠNG HTQL ANTT TẠI CMC TI

3.1.1 Vài nét sơ lược về Công ty

Công ty Cổ phần hạ tầng viễn thông CMC được thành lập ngày 5/9/2008 do Sở kế hoạch và đầu tư TP Hà Nội cấp đăng ký kinh doanh và Bộ Thông tin truyền thông cấp giấy phép chuyên ngành viễn thông Trụ sở chính đặt tại: Tòa nhà CMC, Duy Tân, Cầu Giấy, Hà Nội Ngoài ra có 4 Chi nhánh ở: Hải Phòng, Đà Nẵng, Bình Dương, TP Hồ Chí Minh

Linh vực kinh doanh như: dịch vụ Internet băng thông rộng, dịch vụ Internet trên truyền hình cáp, dịch vụ DC/IDC, dịch vụ truyền số liệu (trong nước và quốc tế), nội dung số, dịch vụ giá trị gia tăng (VAS)

3.1.2 Sơ đồ tổ chức

ĐẠI HỘI ĐỒNG CỔ ĐÔNG

HỘI ĐỒNG QUẢN TRỊ

TRUNG TÂM KINH DOANH

Ban Tài chính - Kế toán

Ban Nhân sự

Ban Sale&Marketing

Ban Công nghệ thông tin

Ban đầu tư & phát triển mạng Ban Quản lý chất lượng Trung tâm điều hành mạng

Chi nhánh miền Bắc Chi nhánh miền Trung

Chi nhánh miền Nam

Trung tâm kinh doanh

Sứ mệnh: “Thúc đẩy sự phát triển của các nhà cung cấp dịch vụ truy nhập, giá trị gia tăng trên mạng; tạo thêm lợi thế cạnh tranh cho các doanh nghiệp bằng việc kết nối hạ tầng hiện đại, chất lượng cao, đa dịch vụ trên nền tảng công nghệ tiên tiến hàng đầu thế giới, mang đến nhiều tiện ích cho phát triển kinh tế xã hội đất nước; mang lại lợi ích thiết thực cho cổ đông và khách hàng”

Mục tiêu của Công ty là xây dựng và phát triển đội ngũ CBNV thành thạo nghiệp

vụ, đạo đức nghề nghiệp cao, chuyên nghiệp trong phong cách làm việc CBNV CMC TI cùng gắn bó vì một CMC TI phát triển trong tương lai

3.1.4 Tình hình hoạt động chất lượng

Căn cứ vào tình hình thực tế hoạt động sản xuất kinh doanh của Công ty, nên Ban lãnh đạo CMC TI đã quyết định thành lập Ban triển khai Dự án: “Áp dụng tiểu chuẩn Việt Nam – TCVN – ISO 27000 đối với hoạt động của CMC TI”, gọi tắt là Ban ISO 27000

Mục tiêu: thiết lập, thực hiện, duy trì và cải tiến hệ thống bảo mật thông tin, đáp ứng tiêu chuẩn ISO 27001:2005, đem lại khả năng đảm bảo kiểm soát, sử dụng tài sản thông tin tốt hơn, nâng cao sự tin cậy với khách hàng

Phạm vi áp dụng: Tiêu chuẩn ISO/IEC 27001: 2005 được áp dụng cho toàn bộ CMC TI tại Hồ Chí Minh và Hà Nội

Phương pháp triển khai:

Bảng 3.1: Các giai đoạn triển khai dự án ISO 27001

Giai đoạn 1:

Thiết kế hệ

thống

Khảo sát hiện trạng, thành lập ban dự án, kế hoạch chi tiết, đào tạo nhận thức và triển khai, soạn thảo các quy trình về hệ thống

– Vinastar: báo cáo hiện trạng, đào tạo nhận thức, các tài liệu

hệ thống

– CMC TI: bảng mô tả trách nhiệm thành viên dự án, góp ý tài liệu về hệ thống quản lý Giai đoạn 2:

Thiết kế

nghiệp vụ

Soạn thảo các quy trình hướng dẫn công việc liên quan đến hoạt động nghiệp vụ của các bộ phận

– Vinastar: các tài liệu về nghiệp

vụ

– CMC TI: góp ý về tài liệu nghiệp vụ

Giai đoạn 3:

Triển khai, Phổ biến tài liệu, áp dụng thử, điều chỉnh tài liệu, phê duyệt

– Vinastar: hệ thống tài liệu hoàn chỉnh

áp dụng và ban hành tài liệu – CMC TI: góp ý tài liệu, góp ý

áp dụng Giai đoạn 4:

Đánh giá

nội bộ

Đào tạo đánh giá nội bộ, lập kế hoạch và thực hiện đánh giá nội bộ, khắc phục các điểm không phù hợp, thực hiện cải tiến, tổ chức họp xem xét của lãnh đạo

– Vinastar: khóa đào tạo về đánh giá nội bộ

– CMC TI: kết quả đánh giá nội

bộ, cải tiến, xem xét của lãnh đạo

– Vinastar: hướng dẫn khắc phục các điểm không phù hợp

– CMC TI: chứng nhận phù hợp

tiêu chuẩn ISO 27001:2005

Hệ thống đảm bảo an toàn thông tin của CMC TI gồm: con người, chính sách, và công nghệ Tuy nhiên, hệ thống an toàn thông tin của CMC TI vẫn chứa đựng nhiều hiểm họa, khiến cho hệ thống này dễ bị khai thác từ những xâm nhập bên ngoài, hay những hoạt động bên trong làm phá vỡ hệ thống bảo mật này

3.2.1 Nguyên nhân từ phía con người

Nguyên nhân từ phía con người là do: sự vô ý (lỗi nhập dữ liệu, quên mật khẩu, thiếu tập trung trong xử lý sự cố mạng…) hay cố tình (đăng tải các phần mềm có hại, truy cập trái phép thông tin, vận hành sai quy trình…)

Con người được xem là nhân tố then chốt của hệ thống đảm bảo an toàn thông tin của CMC TI, vì chính con người mới xây dựng nên chính sách và quyết định sử dụng công nghệ nào để thực hiện hệ thống đảm bảo an toàn thông tin Và theo tiêu chuẩn ISO/IEC 27001:2005, thì con người là một dạng tài sản thông tin đặc biệt Do vậy, chính những lỗi do vô tình hay cố ý, sẽ là những mối nguy/đe dọa, tạo ra những điểm yếu để bên ngoài dễ dàng xâm nhập vào bên trong hệ thống, sẽ làm phá

vỡ hệ thống trong tương lai

3.2.2 Nguyên nhân từ phía chính sách

Hiện nay, CMC TI chưa có một chính sách an toàn thông tin cụ thể nào, dẫn đến việc thực hiện các tiêu chuẩn, thủ tục là không thể Vì nó chỉ dừng lại ở mức các