Scribd Logo
Upload

Welcome to Scribd!

  • Noidungontap TKANHT

    Uploaded by

    An Le
    11 views26 pages

    Original Title

    NoidungontapTKANHT

    Copyright

    © © All Rights Reserved

    Available Formats

    DOCX, PDF, TXT or read online from Scribd

    Did you find this document useful?

    Is this content inappropriate?

    Report this Document

    Copyright:

    © All Rights Reserved
    Download as DOCX, PDF, TXT or read online from Scribd
    Flag for inappropriate content
    11 views26 pages

    Noidungontap TKANHT

    Uploaded by

    An Le

    Copyright:

    © All Rights Reserved
    Download as DOCX, PDF, TXT or read online from Scribd
    Flag for inappropriate content
    of 26

    * Đạo đức nghề nghiệp

    - Phần 1: Các nguyên tắc chung

    Một chuyên gia điện toán nên ...


    • 1.1 Đóng góp cho xã hội và làm cho con người hạnh phúc
    • Liên quan đến chất lượng cuộc sống của tất cả mọi người,
    • Giảm thiểu các hậu quả tiêu cực của máy tính, bao gồm các mối đe dọa
    đến sức khỏe, an toàn, bảo mật cá nhân và quyền riêng tư.
    • 1.2 Tránh gây hậu quả tiêu cực
    • Chấn thương về thể chất hoặc tinh thần không hợp lý
    • Phá hủy hoặc tiết lộ thông tin không hợp lý và thiệt hại không hợp lý đối
    với tài sản, danh tiếng và môi trường
    • 1.3 Hãy trung thực và đáng tin cậy.
    • Minh bạch và cung cấp đầy đủ thông tin về tất cả các khả năng, hạn chế
    và các vấn đề tiềm ẩn của hệ thống cho các bên thích hợp
    • 1.4 Hãy công bằng và hành động không phân biệt đối xử
    • Thúc đẩy sự tham gia công bằng của tất cả mọi người
    • Bình đẳng, khoan dung, tôn trọng người khác
    • Tạo ra các sản phẩm hay các ứng dụng không phân biệt người dùng.

    • 1.5 Tôn trọng công việc cần thiết để tạo ra các ý tưởng mới, sáng chế, tác
    phẩm sáng tạo và các tạo tác điện toán.
    • Ghi nhận những người tạo ra ý tưởng, sáng chế, tôn trọng quyền tác giả,
    bằng sáng chế, bí mật thương mại và các phương thức bảo vệ tác phẩm
    của tác giả.
    • 1.6 Tôn trọng quyền riêng tư.
    • Hiểu các quyền và trách nhiệm liên quan đến việc thu thập và sử dụng
    thông tin cá nhân.
    • Nên sử dụng thông tin cá nhân cho các mục đích hợp pháp và không vi
    phạm quyền của cá nhân và nhóm
    • Thiết lập các chính sách và quy trình minh bạch cho phép các cá nhân
    hiểu dữ liệu nào đang được thu thập và cách sử dụng dữ liệu, đồng ý cho
    thu thập dữ liệu tự động và xem xét, lấy, sửa lỗi không chính xác và xóa
    dữ liệu cá nhân của họ.
    • 1.7 Bảo mật danh dự
    • Các chuyên gia máy tính thường được giao phó thông tin bí mật như bí
    mật thương mại, dữ liệu khách hàng, chiến lược kinh doanh phi công
    cộng, thông tin tài chính, dữ liệu nghiên cứu, các bài báo nghiên cứu
    trước xuất bản và các ứng dụng bằng sáng chế. Các chuyên gia máy tính
    nên bảo vệ tính bảo mật ngoại trừ trong trường hợp đó là bằng chứng về
    vi phạm pháp luật, các quy định của tổ chức hoặc của Bộ luật.
    - Phần 2: Trách nhiệm nghề nghiệp
    • 2.1 Phấn đấu đạt chất lượng cao cả về quy trình và sản phẩm của công việc
    chuyên môn.
    • Nhấn mạnh và hỗ trợ công việc chất lượng cao từ bản thân và từ các
    đồng nghiệp
    • 2.2 Duy trì các tiêu chuẩn cao về năng lực chuyên môn, hành vi và thực
    hành đạo đức.
    • Cần duy trì năng lực chuyên môn, phát triển kỹ năng giao tiếp. Nâng cao
    kỹ năng nên là một quá trình liên tục và có thể bao gồm nghiên cứu độc
    lập, tham dự các hội nghị hoặc hội thảo, và giáo dục không chính thức
    hoặc chính thức khác.
    • 2.3 Biết và tôn trọng các quy tắc hiện hành liên quan đến công việc chuyên
    môn.
    • Tuân thủ các quy tắc bao gồm luật và quy định của địa phương, khu vực,
    quốc gia và quốc tế, cũng như mọi chính sách và thủ tục của tổ chức mà
    chuyên gia thuộc về
    • Làm việc chuyên nghiệp trong lĩnh vực máy tính phụ thuộc vào việc
    đánh giá chuyên nghiệp ở tất cả các giai đoạn.
    • Tìm kiếm và sử dụng đánh giá ngang hàng và các bên liên quan.
    • 2.4 Chấp nhận và cung cấp đánh giá chuyên môn phù hợp
    • Cung cấp các đánh giá mang tính xây dựng, quan trọng cho công việc
    của người khác.
    • 2.5 Đưa ra các đánh giá toàn diện về hệ thống máy tính và tác động của
    chúng, bao gồm phân tích các rủi ro có thể xảy ra.
    • Các chuyên gia máy tính có trách nhiệm đặc biệt để cung cấp các đánh
    giá khách quan, đáng tin cậy cho người sử dụng lao động, nhân viên,
    khách hàng, người dùng và công chúng.
    • Nhận thức, thấu đáo và khách quan khi đánh giá, giới thiệu và trình bày
    các mô tả hệ thống và các lựa chọn thay thế. Cần chú ý đặc biệt để xác
    định và giảm thiểu rủi ro tiềm ẩn trong các hệ thống học máy.
    • 2.6 Chỉ thực hiện công việc trong các lĩnh vực có thẩm quyền.
    • Đánh giá tính khả thi của các công việc tiềm năng và đưa ra phán quyết
    về việc phân công công việc có nằm trong phạm vi thẩm quyền của
    chuyên gia hay không.
    • Đánh giá đạo đức của một chuyên gia máy tính dựa trên quyết định của
    họ trong việc nhận nhiệm vụ.
    • 2.7 Nhận thức các công nghệ liên quan và hậu quả của chúng.
    • Chuyên gia máy tính nên chia sẻ về công nghệ máy tính kiến thức kỹ
    thuật với công chúng, nhận thức về công nghệ máy tính
    • Các vấn đề quan trọng bao gồm các tác động của hệ thống máy tính,
    những hạn chế của chúng, các lỗ hổng của chúng và các rủi ro.
    • Ngoài ra, một chuyên gia tính toán cần phải đánh giá được những thông
    tin không chính xác hoặc gây hiểu nhầm liên quan đến máy tính.
    • 2.8 Truy cập tài nguyên máy tính và truyền thông chỉ khi được ủy quyền
    hoặc khi bị ép buộc bởi lợi ích công cộng.
    • Không nên truy cập vào hệ thống máy tính, phần mềm hoặc dữ liệu của
    người khác mà không được ủy quyền hoặc phù hợp với lợi ích chung.
    • Trong trường hợp đặc biệt, một chuyên gia tính toán có thể sử dụng truy
    cập trái phép để làm gián đoạn hoặc ức chế hoạt động của các hệ thống
    độc hại; các biện pháp phòng ngừa bất thường phải được thực hiện trong
    những trường hợp này để tránh gây tổn hại cho người khác.
    • 2.9 Thiết kế và triển khai các hệ thống mạnh mẽ và an toàn.
    • Các chuyên gia máy tính phải xem xét thiết kế và triển khai hệ thống
    bảo mật mạnh mẽ .
    • Thực hiện thẩm định để đảm bảo các chức năng của hệ thống được bảo
    mật mạnh, có hành động thích hợp để bảo đảm các nguồn lực chống lại
    việc sử dụng sai mục đích
    • Tính toán tích hợp các kỹ thuật và chính sách theo dõi, vá lỗi và báo cáo
    lỗ hổng.
    • Thực hiện các bước để đảm bảo các bên bị ảnh hưởng bởi các vi phạm
    dữ liệu được thông báo một cách kịp thời và rõ ràng, cung cấp hướng
    dẫn và khắc phục thích hợp.
    • Để đảm bảo hệ thống đạt được mục đích đã định, các tính năng bảo mật
    cần được thiết kế trực quan và dễ sử dụng nhất có thể.
    • Ngăn cản các biện pháp phòng ngừa an ninh quá khó hiểu, có tình huống
    không phù hợp hoặc ngăn cản việc sử dụng hợp pháp.
    - Phần 3: lãnh đạo chuyên nghiệp
    • 3.1 Đảm bảo rằng lợi ích công cộng là mối quan tâm chính trong tất cả các
    công việc điện toán chuyên nghiệp.
    • Mọi người — bao gồm người dùng, khách hàng, đồng nghiệp và những
    người khác bị ảnh hưởng trực tiếp hoặc gián tiếp — phải luôn là mối quan tâm
    trung tâm trong máy tính. Hàng hóa công phải luôn được xem xét rõ ràng khi
    đánh giá các nhiệm vụ liên quan đến nghiên cứu, phân tích yêu cầu, thiết kế,
    thực hiện, thử nghiệm, xác nhận, triển khai, bảo trì, nghỉ hưu và thải bỏ. Các
    chuyên gia máy tính nên giữ trọng tâm này cho dù họ sử dụng phương pháp
    hoặc kỹ thuật nào trong thực tế.
    • 3.2 Kết nối, khuyến khích chấp nhận và đánh giá việc thực hiện trách
    nhiệm xã hội của các thành viên trong tổ chức hoặc nhóm.
    • Các tổ chức và nhóm kỹ thuật ảnh hưởng đến xã hội rộng lớn hơn, và
    các nhà lãnh đạo của họ nên chấp nhận các trách nhiệm liên quan. Các tổ chức
    — thông qua các thủ tục và thái độ hướng tới chất lượng, tính minh bạch và
    phúc lợi của xã hội — giảm tác hại cho công chúng và nâng cao nhận thức về
    ảnh hưởng của công nghệ trong cuộc sống của chúng ta. Do đó, các nhà lãnh
    đạo nên khuyến khích sự tham gia đầy đủ của các chuyên gia máy tính trong
    việc đáp ứng các trách nhiệm xã hội liên quan
    • 3.3 Quản lý nhân sự và nguồn lực để nâng cao chất lượng cuộc sống làm
    việc.
    • 3.4 Trình bày, áp dụng và hỗ trợ các chính sách và quy trình phản ánh các
    nguyên tắc của Bộ luật.
    • 3.5 Tạo cơ hội cho các thành viên của tổ chức hoặc nhóm phát triển thành
    các chuyên gia.
    • 3.6 Cẩn thận khi sửa đổi hoặc gỡ bỏ hệ thống.
    3.7 Nhận biết và chăm sóc đặc biệt các hệ thống được tích hợp vào cơ sở hạ tầng
    của x- Phần 4: Quy định tuân thủ
    • 4.1 Giữ vững, quảng bá và tôn trọng các nguyên tắc của Quy tắc.
    • Mở rộng, quảng bá và tôn trọng các nguyên tắc của Bộ luật.
    • Mỗi thành viên ACM nên khuyến khích và hỗ trợ sự tuân thủ của tất cả
    các chuyên gia điện toán.
    • 4.2 Xử lý các hành vi vi phạm Quy tắc không phù hợp với tư cách thành
    viên của ACM.
    • Khi các thành viên ACM nhận ra vi phạm Bộ luật nên xem xét để báo
    cáo vi phạm đối với ACM để từ đó bộ quy tắc này được hoàn thiện.
    • Điều chỉnh các quy tắc nếu phát hiện các sai phạm xảy ra.
    • ã hội.

    Bộ Quy Tắc
    1. CÔNG CỘNG - Các kỹ sư phần mềm sẽ hành động nhất quán với lợi ích công cộng.
    2. KHÁCH HÀNG VÀ CÔNG TY - Các kỹ sư phần mềm sẽ hành động theo cách thức có lợi
    nhất cho khách hàng và công ty của họ, phù hợp với lợi ích công cộng.
    3. SẢN PHẨM - Kỹ sư phần mềm phải đảm bảo rằng sản phẩm của họ và các sửa đổi liên
    quan đáp ứng các tiêu chuẩn chuyên nghiệp cao nhất có thể.
    4. THẨM QUYỀN - Kỹ sư phần mềm sẽ duy trì tính toàn vẹn (tính chính liêm) và độc lập
    trong bản án chuyên môn của họ.
    5. QUẢN LÝ - Các nhà quản lý kỹ thuật phần mềm và các nhà lãnh đạo sẽ đưa ra và thúc đẩy
    một cách tiếp cận đạo đức để quản lý phát triển và bảo trì phần mềm.
    6. CHUYÊN NGHIỆP - Kỹ sư phần mềm sẽ nâng cao tính liêm chính và danh tiếng của nghề
    phù hợp với lợi ích công cộng.
    7. ĐỒNG NGHIỆP Các kỹ sư phần mềm phải công bằng và ủng hộ đồng nghiệp của họ.
    8. TỰ HỌC Các kỹ sư phần mềm sẽ tham gia vào việc học suốt đời liên quan đến việc thực
    hành nghề nghiệp của họ và sẽ làm việc một cách có đạo đức.
    Lợi ích tuân thủ
    1. Thu hút nhân viên tận tâm muốn tham gia vào trong một tổ chức sản xuất phần mềm có
    chất lượng.
    2. Mối quan tâm của công chúng Có uy tín về chất lượng và sự tin cậy sẽ quảng bá hình ảnh
    đạo đức cho công ty của bạn. Đổi lại, điều này sẽ cho công chúng biết rằng công ty đang làm
    việc với mục đích có lợi cho cộng đồng và tự hào chấp nhận trách nhiệm đó.
    3. Hình ảnh chuyên nghiệp: Tuân thủ các tiêu chuẩn chất lượng sẽ đạt được sự tôn trọng cho
    công ty của bạn và nâng cao chất lượng của phần mềm mà nó tạo ra.
    4. Niềm tin công cộng : Sản xuất một phần mềm chất lượng sẽ cho công chúng thấy rằng lợi
    ích tốt nhất của họ đang được đáp ứng với sự bảo mật và tiêu chuẩn cao.
    5. Tiêu chuẩn nội bộ Cải thiện thông tin liên lạc giữa quản lý và đồng nghiệp. Các kỹ sư phần
    mềm sẽ thực hiện công việc này suốt đời , việc tạo ra một sản phẩm chất lượng sẽ phản ánh sự
    chuyên nghiệp của họ.

    NGUYÊN TẮC PUBLIC


    PUBLIC - hành động nhất quán với sự quan tâm của công chúng.
    1. Hợp tác trong những nỗ lực để giải quyết các vấn đề quan tâm nghiêm trọng của công
    chúng gây ra bởi phần mềm, cài đặt, bảo trì, hỗ trợ hoặc tài liệu của nó.
    2. Hãy công bằng và tránh lừa dối trong tất cả các tuyên bố, đặc biệt là các tuyên bố công
    khai, liên quan đến phần mềm hoặc các tài liệu, phương pháp và công cụ có liên quan.
    3. Xem xét các vấn đề phân bổ nguồn lực, bất lợi về kinh tế và các yếu tố khác có thể làm
    giảm khả năng tiếp cận các lợi ích của phần mềm.
    4.Khuyến khích tình nguyện đóng góp cho giáo dục công lập.
    NGUYÊN TẮC KHÁCH HÀNG VÀ CÔNG TY
    Các kỹ sư phần mềm sẽ hành động theo cách có lợi nhất cho khách hàng và Công ty mà phù
    hợp với lợi ích công cộng.
    2.01. Cung cấp dịch vụ trong lĩnh vực theo năng lực, trung thực và thẳng thắn về bất kỳ giới
    hạn nào về kinh nghiệm và khả năng họ.
    2.02. Không cố ý sử dụng phần mềm có được một cách bất hợp pháp hoặc phi đạo đức.
    2.03. Chỉ sử dụng tài sản của khách hàng hoặc công ty được ủy quyền hợp pháp.
    2.04. Đảm bảo rằng việc sử dụng tài liệu phải được phê duyệt.
    2.05. Giữ bí mật mọi thông tin bí mật thu được trong công việc chuyên môn của họ, một cách
    phù hợp với lợi ích công cộng và pháp luật.
    2.06. Khi nhận thấy một dự án có khả năng thất bại vì lý do như vi phạm luật sở hữu trí
    tuệ ...thì cần thu thập những minh chứng báo cáo cho khách hàng hoặc người sử dụng lao
    động ngay lập tức.
    2.07. Khi nhận thức được phần mềm tạo ra có liên quan với những vấn đề mà xã hội đang
    quan tâm thì cần thu thập những minh chứng để báo cáo với công ty hoặc khách hàng.
    2.08. Chấp nhận không làm việc bên ngoài bất lợi cho công việc họ thực hiện , cho công ty
    của họ.
    2.09. Không thúc đẩy những hành vi gây bất lợi ích công ty hoặc khách hàng của họ, trừ khi
    hành vi đó được chấp thuận bởi một giá trị đạo đức cao hơn; trong trường hợp đó, thông báo
    cho chủ lao động hoặc cơ quan thích hợp
    NGUYÊN TẮC SẢN PHẨM
    Kỹ sư phần mềm phải đảm bảo rằng sản phẩm của họ và các sửa đổi có liên quan đáp ứng các
    tiêu chuẩn nghề nghiệp cao nhất có thể.
    3,01. Phấn đấu cho chất lượng cao, chi phí chấp nhận được, và một lịch trình hợp lý, đảm bảo
    sự cân bằng đáng kể rõ ràng và được chấp nhận bởi người sử dụng lao động và khách hàng,
    3,02. Đảm bảo đạt được mục tiêu phù hợp cho bất kỳ dự án nào mà họ làm việc hoặc đề xuất.
    3,03. Xác định giải quyết các vấn đề đạo đức, kinh tế, văn hóa, pháp lý và môi trường liên
    quan đến các dự án làm việc.
    3.04. Đảm bảo rằng họ đủ điều kiện về king nghiệm và nền tảng tri thức cho bất kỳ dự án nào
    mà họ làm việc hoặc đề xuất .
    3.05. Đảm bảo rằng mọi dự án luôn dược thực hiện với một phương pháp thích hợp
    3.06. Luôn làm việc tuân theo các tiêu chuẩn chuyên nghiệp có sẵn, phù hợp nhất về mặt đạo
    đức hoặc kỹ thuật với nhiệm vụ đang thực thi từ lúc khởi đầu
    3.07. Phấn đấu để hiểu đầy đủ các thông số kỹ thuật cho phần mềm mà họ làm việc.
    3.08. Đảm bảo rằng các thông số kỹ thuật cho phần mềm mà chúng hoạt động đã được ghi
    chép đầy đủ, đáp ứng các yêu cầu của người dùng và có sự chấp thuận thích hợp.
    3.09. Đảm bảo ước tính định lượng thực tế về chi phí, lập kế hoạch, nhân sự, chất lượng và
    kết quả trên bất kỳ dự án nào mà họ làm việc hoặc đề xuất làm việc và đưa ra đánh giá không
    chắc chắn về các ước tính này
    3.10. Đảm bảo kiểm tra đầy đủ, gỡ lỗi và xem xét phần mềm và các tài liệu liên quan mà
    chúng hoạt động
    3.11. Đảm bảo tài liệu đầy đủ, bao gồm các vấn đề quan trọng được phát hiện và các giải pháp
    được áp dụng, cho bất kỳ dự án nào mà họ làm việc.
    3.12. Làm việc để phát triển phần mềm và các tài liệu liên quan tôn trọng quyền riêng tư của
    những người sẽ bị ảnh hưởng bởi phần mềm đó.
    3.13. Hãy cẩn thận để chỉ sử dụng dữ liệu chính xác phù hợp về mặt đạo đức và pháp lý, dữ
    liệu sử dụng phải được ủy quyền
    3.14. Duy trì tính toàn vẹn của dữ liệu
    3.15 Xử lý tất cả các hình thức bảo trì phần mềm với tính chuyên nghiệp như phát triển mới.
    NGUYÊN TẮC ĐÁNH GIÁ
    4.1 Kỹ sư phần mềm sẽ duy trì tính toàn vẹn và độc lập trong sự đánh giá chuyên môn của
    họ.
    4.01. Trung hòa tất cả các đánh giá kỹ thuật với sự hỗ trợ và duy trì giá trị nhân văn.
    4.02 Chỉ xác nhận các tài liệu được chuẩn bị dưới sự giám sát của họ hoặc trong phạm vi
    thẩm quyền của họ
    4.03. Duy trì tính khách quan chuyên nghiệp đối với bất kỳ phần mềm hoặc tài liệu liên quan
    nào được yêu cầu đánh giá.
    4.04. Không tham gia vào các hoạt động tài chính lừa đảo như hối lộ, lập hóa đơn kép hoặc
    những vi phạm tài chính khác.
    4.05. Tiết lộ cho tất cả các bên liên quan những xung đột lợi ích mà không thể tránh khỏi.
    NGUYÊN TẮC QUẢN LÝ
    Các nhà quản lý và lãnh đạo kỹ thuật phần mềm sẽ quản lý, phát triển và bảo trì phần mềm
    dựa trên quan điểm đạo đức.
    Đảm bảo quản lý tốt cho bất kỳ dự án nào mà họ hoạt động, bao gồm các thủ tục hiệu quả để
    quảng bá chất lượng và giảm rủi ro.
    Đảm bảo rằng các kỹ sư phần mềm được thông báo về các tiêu chuẩn trước khi làm việc.
    Đảm bảo rằng các kỹ sư phần mềm biết chính sách và quy trình của công ty để bảo vệ mật
    khẩu, tập tin và thông tin được bảo mật cho công ty hoặc bí mật cho người khác.
    Chỉ phân công công việc sau khi đã xem xét đến năng lực và kinh nghiệm thích hợp.
    Đảm bảo ước lượng định lượng thực tế về chi phí, lập kế hoạch, nhân sự, chất lượng và kết
    quả cho bất kỳ dự án nào.
    Thu hút các kỹ sư phần mềm tiềm năng bằng mô tả đầy đủ và chính xác về các điều kiện làm
    việc.
    Công bằng và tiền công phù hợp.
    Không ngăn cản người khác lấy vị trí mà người đó đủ điều kiện phù hợp.
    Đảm bảo rằng có một thỏa thuận công bằng liên quan đến quyền sở hữu phần mềm, quy trình,
    nghiên cứu, văn bản hoặc tài sản trí tuệ khác mà kỹ sư phần mềm đã đóng góp.
    Cung cấp cho quá trình theo đúng thủ tục trong các phiên điều trần về vi phạm chính sách của
    chủ lao động hoặc của Bộ luật này.
    Không yêu cầu một kỹ sư phần mềm làm bất cứ điều gì mâu thuẫn với Bộ luật này.
    Không trừng phạt bất cứ ai để bày tỏ mối quan tâm đạo đức về một dự án.
    NGUYÊN TẮC CHUYÊN NGHIỆP
    Không quảng bá vì lợi ích riêng
    Tuân thủ tất cả các quy tắc pháp luật, trừ khi, trong những trường hợp ngoại lệ, việc tuân thủ
    đó không phù hợp với lợi ích công cộng.
    Hãy chính xác trong việc nêu rõ các đặc điểm của phần mềm mà chúng hoạt động, tránh các
    tuyên bố giả mạo, đầu cơ, trống rỗng, lừa đảo, gây hiểu nhầm hoặc nghi ngờ.
    Chịu trách nhiệm phát hiện, sửa chữa và báo cáo lỗi trong phần mềm và các tài liệu liên quan
    Đảm bảo rằng khách hàng, người sử dụng lao động và người giám sát biết về cam kết của kỹ
    sư phần mềm về Quy tắc đạo đức nàTránh các liên kết với các doanh nghiệp và tổ chức xung
    đột với quy tắc đạo đức này.
    Nhận ra rằng vi phạm Quy tắc này không phù hợp với việc trở thành kỹ sư phần mềm chuyên
    nghiệp.
    Bày tỏ mối lo ngại cho những người liên quan khi các vi phạm nghiêm trọng của Bộ luật này
    được phát hiện trừ khi điều này là không thể, phản tác dụng hoặc nguy hiểm.
    Báo cáo các vi phạm nghiêm trọng của Bộ luật này cho cơ quan chức năng khi việc tham vấn
    những quy tắc này cho những người liên quan không tác dụng .
    NGUYÊN TẮC ĐỒNG NGHIỆP
    Khuyến khích các đồng nghiệp tuân thủ Quy tắc này.
    Hỗ trợ các đồng nghiệp phát triển chuyên môn.
    Tín dụng đầy đủ công việc của những người khác và kiềm chế không lấy tín dụng quá hạn.
    Xem lại công việc của những người khác một cách khách quan, thẳng thắn, và tài liệu đúng
    cách.
    Hãy đưa ra một buổi điều trần công bằng cho các ý kiến, quan ngại hoặc khiếu nại của đồng

    nghiệp. Giúp các đồng nghiệp hiểu rõ các tiêu chuẩn hiện hành bao gồm các chính sách và
    quy trình bảo vệ mật khẩu, tệp và thông tin bí mật khác và các biện pháp bảo mật nói chung.
    Không can thiệp một cách không công bằng vào sự nghiệp của bất kỳ đồng nghiệp nào.
    Trong các tình huống ngoài phạm vi thẩm quyền của mình, hãy kêu gọi ý kiến của các chuyên
    gia khác có thẩm quyền trong lỉnh vực đó.
    NGUYÊN TẮC TỰ HỌC
    Các kỹ sư phần mềm sẽ học các kiến thức nghề nghiệp suốt đời và làm việc một cách có đạo
    đức.
    Học thêm các kiến thức về sự phát triển trong phân tích, đặc điểm kỹ thuật, thiết kế, phát
    triển, bảo trì và thử nghiệm phần mềm và các tài liệu liên quan, cùng với việc quản lý quá
    trình phát triển.
    Nâng cao khả năng tạo ra phần mềm chất lượng an toàn, đáng tin cậy và hữu ích với chi phí
    hợp lý và trong thời gian hợp lý.
    Cải thiện khả năng tạo ra tài liệu chính xác, đây đủ thông tin.
    Cải thiện sự hiểu biết của họ về phần mềm và các tài liệu liên quan mà chúng hoạt động và
    môi trường mà chúng sẽ được sử dụng.
    Nâng cao kiến thức của họ về các tiêu chuẩn có liên quan và luật điều chỉnh phần mềm và các
    tài liệu liên quan mà họ làm việc.
    Cải thiện kiến thức của họ về Bộ Quy tắc này, cách giải thích, và ứng dụng của nó đối với
    công việc của họ.
    Không được đối xử bất công với bất kỳ ai vì bất kỳ định kiến không liên quan nào.
    Không ảnh hưởng đến người khác thực hiện bất kỳ hành động nào liên quan đến việc vi phạm
    Quy tắc này.
    Nhận ra rằng việc cá nhân vi phạm các quy tắc đạo đức này sẽ không phù hợp với việc trở
    thành một kỹ sư phần mềm chuyên nghiệp.

    ** LUẬT AN NINH MẠNG 11/2019


    Luật An ninh mạng 2018, số 24/2018/QH14 đã được Quốc hội thông qua ngày
    12/06/2018 và sẽ chính thức có hiệu lực từ ngày 01/01/2019.

    1. Nghiêm cấm thông tin sai sự thật gây hoang mang trên mạng
    Điều 8 của Luật này quy định nhiều hành vi bị nghiêm cấm trên môi trường mạng.
    Trong đó, nghiêm cấm việc sử dụng không gian mạng để thực hiện các hành vi như:
    Tổ chức, hoạt động, câu kết, xúi giục mua chuộc lừa gạt, lôi kéo người chống phá Nhà
    nước; Xuyên tạc lịch sử; Thông tin sai sự thật gây hoang mang; Hoạt động mại dâm, tệ
    nạn xã hội; Sản xuất, đưa vào sử dụng phần mềm gây rối loạn hoạt động của mạng
    viễn thông, mạng Internet…
    Bên cạnh đó, hành vi lợi dụng hoặc lạm dụng hoạt động bảo vệ an ninh mạng để
    xâm phạm chủ quyền, lợi ích, an ninh quốc gia, trật tự, an toàn xã hội, quyền và lợi
    ích  hợp pháp của cơ quan, tổ chức, cá nhân hoặc để trục lợi cũng là một hành vi bị
    nghiêm cấm.

    2. Doanh nghiệp nước ngoài phải lưu trữ dữ liệu người dùng tại Việt Nam
    Khoản 3 Điều 26 của Luật yêu cầu doanh nghiệp trong nước và nước ngoài cung
    cấp dịch vụ trên mạng viễn thông, mạng internet và các dịch vụ gia tăng trên không
    gian mạng tại Việt Nam có hoạt động thu thập, khai thác, phân tích, xử lý dữ liệu về
    thông tin cá nhân phải lưu trữ dữ liệu này tại Việt Nam trong thời gian theo quy định
    của Chính phủ.
    Riêng doanh nghiệp nước ngoài phải đặt chi nhánh hoặc văn phòng đại diện tại
    Việt Nam.

    3. Ngừng cung cấp dịch vụ mạng khi có yêu cầu của cơ quan chức năng
    Ngoài yêu cầu phải lưu trữ dữ liệu người dùng tại Việt Nam, các doanh nghiệp
    trong và ngoài nước không được cung cấp hoặc phải ngừng cung cấp dịch vụ trên
    mạng viễn thông, mạng Internet, các dịch vụ gia tăng cho tổ chức, cá nhân đăng tải
    trên mạng thông tin bị nghiêm cấm nêu trên, khi có yêu cầu của lực lượng bảo vệ an
    ninh mạng thuộc Bộ Công an hoặc cơ quan có thẩm quyền của Bộ Thông tin và
    Truyền thông. 
    4. Doanh nghiệp phải cung cấp thông tin người dùng để phục vụ điều tra
    Các doanh nghiệp nêu trên cũng phải có trách nhiệm xác thực thông tin khi người
    dùng đăng ký tài khoản số; bảo mật thông tin, tài khoản của người dùng.
    Đặc biệt, phải cung cấp thông tin người dùng cho lực lượng chuyên trách bảo vệ an
    ninh mạng thuộc Bộ Công an khi có yêu cầu bằng văn bản để phục vụ điều tra, xử lý
    hành vi vi phạm pháp luật về an ninh mạng.
    5. Thông tin vi phạm trên mạng bị xóa bỏ trong vòng 24 giờ
    Khi người dùng chia sẻ những thông tin bị nghiêm cấm, doanh nghiệp cung cấp dịch
    vụ trên mạng viễn thông, mạng internet và các dịch vụ gia tăng trên không gian mạng
    tại Việt Nam phải ngăn chặn việc chia sẻ thông tin, xóa bỏ thông tin vi phạm chậm
    nhất là 24 giờ, kể từ thời điểm có yêu cầu của lực lượng bảo vệ an ninh mạng thuộc Bộ
    Công an hoặc cơ quan của Bộ Thông tin và Truyền thông.
    Đồng thời, doanh nghiệp phải lưu nhật ký hệ thống để phục vụ điều tra, xử lý hành
    vi vi phạm pháp luật về an ninh mạng trong thời gian quy định.
    6. Bảo vệ trẻ em trên không gian mạng
    Đây là một quy định rất nhân văn của Luật An ninh mạng 2018. Theo đó, Điều 29
    quy định: Trẻ em có quyền được bảo vệ, tiếp cận thông tin, tham gia hoạt động xã hội,
    vui chơi, giải trí, giữ bí mật cá nhân, đời sống riêng tư và các quyền khác khi tham gia
    trên không gian mạng.
    Các doanh nghiệp phải đảm bảo kiểm soát nội dung để không gây nguy hại cho trẻ
    em; đồng thời, xóa bỏ thông tin có nội dung gây nguy hại cho trẻ em…
    7. "Nghe lén" các cuộc đàm thoại được coi là hành vi gián điệp mạng
    Các hành vi gián điệp mạng; xâm phạm bí mật nhà nước, bí mật công tác, bí mật
    kinh doanh, bí mật cá nhân, bí mật gia đình và đời sống riêng tư trên không gian mạng
    được liệt kê tại khoản 1 Điều 17 Luật An ninh mạng 2018, trong đó có:
    - Đưa lên không gian mạng những thông tin thuộc bí mật nhà nước, bí mật công tác, bí
    mật kinh doanh, bí mật cá nhân, bí mật gia đình và đời sống riêng tư trái quy định của
    pháp luật;
    - Cố ý nghe, ghi âm, ghi hình trái phép các cuộc đàm thoại;
    - Chiếm đoạt, mua bán, thu giữ, cố ý làm lộ thông tin thuộc bí mật nhà nước, bí mật
    công tác, bí mật kinh doanh, bí mật cá nhân, bí mật gia đình và đời sống riêng tư gây
    ảnh hưởng đến danh dự, uy tín, nhân phẩm, quyền và lợi ích hợp pháp của cơ quan, tổ
    chức, cá nhân…
    8. Khuyến khích cá nhân, tổ chức tham gia phổ biến kiến thức an ninh mạng
    Nhà nước có chính sách phổ biến kiến thức về an ninh mạng trong phạm vi cả
    nước, khuyến khích cơ quan Nhà nước phối hợp với tổ chức tư nhân, cá nhân thực
    hiện chương trình giáo dục và nâng cao nhận thức về an ninh mạng.
    Bộ, ngành, cơ quan, tổ chức có trách nhiệm xây dựng và triển khai hoạt động phổ
    biến kiến thức về an ninh mạng cho cán bộ, công chức trong Bộ, ngành, cơ quan, tổ
    chức. UBND cấp tỉnh có trách nhiệm phổ biến kiến thức cho cơ quan, tổ chức, cá nhân
    của địa phương.
    ** CÁC KIỂU TẤN CÔNG
    1. Tấn công bị động (Passive attack)
    - Các hacker sẽ kiểm soát traffic không được mã hóa và tìm kiếm mật khẩu
    không được mã hóa (Clear Text password)
    - Các cuộc tấn công bị động bao gồm:
    + Phân tích traffic
    + Giám sát các cuộc giao tiếp không được bảo vệ
    + Giải mã các traffic mã hóa yếu
    + Thu thập các thông tin xác thực như mật khẩu.
    - Các cuộc tấn công chặn bắt thông tin hệ thống mạng cho phép kẻ tấn công có
    thể xem xét các hành động tiếp theo.
    2. Tấn công rải rác (Distributed attack)
    - Đối với các cuộc tấn công rải rác yêu cầu kẻ tấn công phải giới thiệu mã.
    - Ví dụ: một chương trình Trojan horse hoặc một chương trình back-door với một
    thành phần "tin cậy" hoặc một phần mềm được phân phối cho nhiều công ty
    khác và tấn công user bằng cách tập trung vào việc sửa đổi các phần mềm độc
    hại của phần cứng hoặc phần mềm trong quá trình phân phối,...
    - Mục đích truy cập trái phép các thông tin hoặc truy cập trái phép các chức năng
    trên hệ thống.
    3. Tấn công nội bộ (Insider attack)
    - Các cuộc tấn công nội bộ (insider attack) liên quan đến người ở trong cuộc,
    chẳng hạn như một nhân viên nào đó "bất mãn" với công ty của mình,…
    - Người trong cuộc cố ý nghe trộm, ăn cắp hoặc phá hoại thông tin, sử dụng các
    thông tin một cách gian lận hoặc truy cập trái phép các thông tin.
    4. Tấn công Phishing
    - Trong các cuộc tấn công phising, các hacker sẽ tạo ra một trang web giả trông
    “giống hệt” như các trang web phổ biến.
    - Trong các phần tấn công phising, các hacker sẽ gửi một email để người dùng
    click vào đó và điều hướng đến trang web giả mạo.
    - Khi người dùng đăng nhập thông tin tài khoản của họ, các hacker sẽ lưu lại tên
    người dùng và mật khẩu đó lại.
    5. Tấn công dạng không tặc (Hijack attack)
    - Trong các cuộc tấn công của không tặc, các hacker sẽ giành quyền kiểm soát và
    ngắt kết nối cuộc nói chuyện giữa bạn và một người khác.
    6. Tấn công mật khẩu (Password attack)
    - Đối với các cuộc tấn công mật khẩu, các hacker sẽ cố gắng "phá" mật khẩu
    được lưu trữ trên cơ sở dữ liệu tài khoản hệ thống mạng hoặc mật khẩu bảo vệ
    các tập tin.
    - Các cuộc tấn công mật khẩu bao gồm 3 loại chính: các cuộc tấn công dạng từ
    điển (dictionary attack), brute-force attack và hybrid attack.
    7. Khai thác lỗ hổng tấn công (Exploit attack)
    - Đối với các cuộc tấn công bằng việc khai thác các lỗ hổng, yêu cầu các hacker
    phải hiểu biết về các vấn đề bảo mật trên hệ điều hành hoặc các phần mềm và
    tận dụng kiến thức này để khai thác các lỗ hổng.

    Hostname và địa chỉ IP trong host file (/etc/host) được sử dụng để tra cứu trong
    local
    File này thường được sử dụng để chuyển hướng cục bộ hoặc chặn truy cập website
    (trỏ domain về localhost 127.0.0.1).
    Attacker có thể khai thác và chuyển hướng người dùng đến một trang tùy ý và khai
    thác theo ý muốn.
    8. Buffer overflow (tràn bộ đệm)
    - Một cuộc tấn công buffer attack xảy ra khi các hacker gửi dữ liệu tới một ứng
    dụng nhiều hơn so với dự kiến. Và kết quả của cuộc tấn công buffer attack là
    các hacker tấn công truy cập quản trị hệ thống trên Command Prompt hoặc
    Shell.
    9. Tấn công từ chối dịch vụ (denial of service attack)
    10. Tấn công theo kiểu Man-in-the-Middle Attack
    - Đúng như cái tên của nó, một cuộc tấn công theo kiểu Man-in-the-Middle
    Attack xảy ra khi cuộc nói chuyện giữa bạn và một người nào đó bị kẻ tấn công
    theo dõi.
    11. Tấn công phá mã khóa (Compromised-Key Attack)
    - Mã khóa: mã bí mật hoặc các con số quan trọng để “giải mã” các thông tin bảo
    mật => mã gây hại
    - Hacker sử dụng mã khóa gây hại này để giành quyền truy cập các thông tin liên
    lạc mà không cần phải gửi hoặc nhận các giao thức tấn công.
    - Với các mã khóa gây hại, các hacker có thể giải mã hoặc sửa đổi dữ liệu.
    12. Tấn công trực tiếp
    - Phương pháp tấn công cổ điển là dò tìm tên người sử dụng và mật khẩu
    - Kẻ tấn công có thể sử dụng những thông tin như tên người dùng, ngày sinh, địa
    chỉ, số nhà vv.. để đoán mật khẩu.
    - Phương pháp sử dụng các lỗi của chương trình ứng dụng và bản thân hệ điều
    hành đã được sử dụng từ những vụ tấn công đầu tiên và vẫn được tiếp tục để
    chiếm quyền truy nhập tài khoản root hay administrator.
    13. Nghe trộm
    - Việc nghe trộm thông tin trên mạng có thể đưa lại những thông tin có ích như
    tên, mật khẩu của người sử dụng, các thông tin mật chuyển qua mạng.
    14. Giả mạo địa chỉ
    - Tấn công giả mạo địa chỉ IP có thể được thực hiện thông qua việc sử dụng
    thông tin định tuyến (source-routing)
    - Với cách tấn công này, kẻ tấn công gửi các gói tin IP tới mạng bên trong với
    một địa chỉ IP giả mạo đồng thời chỉ rõ đường dẫn mà các gói tin IP phải gửi đi.
    15. Vô hiệu các chức năng của hệ thống
    - Đây là kiểu tấn công nhằm làm tê liệt hệ thống. Kiểu tấn công này không thể
    ngăn chặn được, do những phương tiện được tổ chức tấn công cũng chính là các
    phương tiện để làm việc và truy nhập thông tin trên mạng.
    - Ví dụ sử dụng lệnh ping với tốc độ cao nhất có thể, buộc một hệ thống tiêu hao
    toàn bộ tốc độ tính toán và khả năng của mạng để trả lời các lệnh này, không
    còn các tài nguyên để thực hiện những công việc khác.
    16. Tấn công vào yếu tố con người
    - Kẻ tấn công có thể liên lạc với một người quản trị hệ thống, giả làm một người
    sử dụng để yêu cầu thay đổi mật khẩu, thay đổi quyền truy nhập của mình đối
    với hệ thống, hoặc thậm chí thay đổi một số cấu hình của hệ thống để thực hiện
    các phương pháp tấn công khác.
    - Với kiểu tấn công này không một thiết bị nào có thể ngăn chặn một cách hữu
    hiệu và chỉ có một cách giáo dục người sử dụng mạng nội bộ về những yêu cầu
    bảo mật để đề cao cảnh giác với những hiện tượng đáng nghi.
    - Nói chung yếu tố con người là một điểm yếu trong bất kỳ một hệ thống bảo vệ
    nào, và chỉ có sự giáo dục cộng với tinh thần hợp tác từ phía người sử dụng có
    thể nâng cao được độ an toàn của hệ thống bảo vệ.

    NỘI DUNG ÔN TẬP MÔN TRIỂN KHAI AN NINH HỆ THỐNG

    Để chuẩn bị tốt cho thi cuối kỳ sắp tới, các em ôn tập vào các nội dung trọng điểm sau (dựa
    trên các LO - chuẩn đầu ra của môn học):
    1) Xác định và giải thích được các mối nguy hiểm với một hệ thống cho trước
    Yêu cầu: Cho 1 sơ đồ hệ thống mạng, sinh viên phân tích và xác định được 3 mối nguy hiểm
    khác nhau. Làm cơ sở cho nội dung 2:
    2) Vẽ và giải thích được sơ đồ mạng an toàn cho một tình huống cụ thể (DMZ, Firewall,
    Digital signature)
    Yêu cầu: Sinh viên vẽ và giải thích được sơ đồ mạng đáp ứng an toàn cho các mối hiểm hoạ
    đã phân tích ở trên
    3) Giải thích được 1 số điều khoản liên quan đến quy tắc ứng xử ACM và vi phạm luật
    an ninh mạng đối với tình huống cụ thể
    Yêu cầu: Dựa vào hành động của người tham gia hệ thống CNTT trong một tình huống cụ
    thể, sinh viên phân tích người đó vi phạm điều khoản nào trong bộ quy tắc ứng xử ACM và vi
    phạm luật an ninh mạng và hình thức bị xử lý.

    THAM KHẢO&HƯỚNG DẪN LO1&2


    Hiểm họa, rủi ro, tấn công và lỗ hổng
    Hiểm họa, rủi ro, tấn công và lỗ hổng là những khái niệm cốt lõi của an toàn thông tin. Tuy
    nhiên, các thuật ngữ này thường xuyên bị sử dụng nhầm lẫn và chồng chéo lẫn nhau. Mặc dù
    có những mối liên hệ nhất định giữa các khái niệm này, nhưng chúng là các thuật ngữ riêng
    biệt với ý nghĩa khác nhau. Bài viết này sẽ trình bày và phân biệt sự khác nhau giữa các khái
    niệm này.
    Hiểm họa
    Hiểm họa an toàn thông tin là những khả năng tác động lên thông tin hoặc hệ thống thông tin
    dẫn tới sự thay đổi, hư hại, sao chép, sự ngăn chặn tiếp cận tới thông tin; phá huỷ hoặc làm
    ngừng trệ hoạt động của vật mang thông tin. Hiểm họa an toàn thông tin đề cập đến các tình
    huống hoặc sự kiện có khả năng tác động gây hại đến hệ thống thông tin.

    Hiểm họa có thể chia thành 3 loại phổ biến: các hiểm họa tự nhiên (bão hoặc lũ lụt), các hiểm
    họa không chủ ý (chẳng hạn như một nhân viên truy cập sai thông tin, quản trị viên vô tình để
    dữ liệu không được bảo vệ trên hệ thống gây lộ lọt, rò rỉ dữ liệu) và các hiểm họa có chủ ý.
    Có rất nhiều các hiểm họa có chủ ý như các cuộc tấn công mạng, mã độc, phần mềm gián
    điệp, phần mềm quảng cáo, lừa đảo hoặc kỹ nghệ xã hội dẫn đến việc kẻ tấn công cài đặt
    trojan và đánh cắp thông tin cá nhân từ các ứng dụng của bạn hoặc hành động của một nhân
    viên bất mãn nhằm đánh cắp có chủ đích các dữ liệu quan trọng trong tổ chức.
    Gần đây nhất, vào ngày 12 tháng 5 năm 2017, Ransomware WannaCry đã bắt đầu tấn công
    các máy tính và mạng trên toàn cầu và từ đó được mô tả là cuộc tấn công lớn nhất của loại
    hình tội phạm này. Tội phạm mạng liên tục đưa ra những cách sáng tạo mới để tấn công và
    thỏa hiệp dữ liệu của bạn.
    Trong an toàn thông tin các hiểm họa có xu hướng được cụ thể hóa đối với từng môi trường
    nhất định. Ví dụ một số loại mã độc có thể rất nguy hiểm trên hệ điều hành Windows, tuy
    nhiên lại không có bất kỳ tác dụng gì trên hệ điều hành Linux...
    Các hiểm họa an ninh mạng được thực hiện bởi các tác nhân đe dọa. Các tác nhân đe dọa
    thường là những người hoặc thực thể có khả năng khởi đầu một hiểm họa tiềm ẩn đối với hệ
    thống. Ví dụ tội phạm có động cơ tài chính (tội phạm mạng), động cơ chính trị (kẻ tấn công),
    đối thủ cạnh tranh, nhân viên bất cẩn, nhân viên bất mãn và những kẻ tấn công được hậu
    thuẫn bởi các tổ chức chính phủ, quốc gia khác. Mặc dù các thảm họa tự nhiên, cũng như các
    sự kiện chính trị và môi trường khác cũng tạo thành các mối hiểm họa an toàn thông tin,
    nhưng chúng thường không được coi là tác nhân đe dọa (điều này không có nghĩa là các hiểm
    họa đó có thể được coi nhẹ hoặc ít quan trọng hơn).
    Các hiểm họa an toàn thông tin cũng có thể trở nên nguy hiểm hơn nếu các tác nhân đe dọa
    tận dụng một hoặc nhiều lỗ hổng để có quyền truy cập vào hệ thống, thường bao gồm cả hệ
    điều hành.
    Lổ hổng
    Lỗ hổng đề cập đến các điểm yếu mà có thể được sử dụng để gây hại cho một hệ thống, là
    những khiếm khuyết trong chức năng, thành phần nào đó của hệ thống thông tin mà có thể bị
    lợi dụng để gây hại cho hệ thống. Về mặt bản chất, lỗ hổng là những điểm yếu có thể bị khai
    thác bởi các hiểm họa nhằm gây hại cho hệ thống. Nói cách khác, đây là một vấn đề đã biết
    cho phép một cuộc tấn công diễn ra thành công. Ví dụ: khi một nhân viên trong công ty từ
    chức và bạn quên vô hiệu hóa quyền truy cập của họ vào tài khoản từ bên ngoài có thể tạo ra
    những lỗ hổng an toàn cho các hiểm họa có chủ ý hoặc vô ý.

    Một hệ thống có thể được khai thác thông qua một lỗ hổng duy nhất, ví dụ, một cuộc tấn công
    SQL Injection duy nhất có thể cung cấp cho kẻ tấn công toàn quyền kiểm soát dữ liệu nhạy
    cảm. Kẻ tấn công cũng có thể xâu chuỗi và tạo ra một chuỗi các tấn công sử dụng một số cách
    khai thác với nhau, lợi dụng nhiều hơn một lỗ hổng để giành quyền kiểm soát nhiều hơn đối
    với hệ thống.
    Lỗ hổng có thể xuất hiện ở khắp mọi nơi, đó có thể là một lỗ hổng của hệ điều hành, một ứng
    dụng, thậm chí ở một vị trí vật lý trong văn phòng, một trung tâm dữ liệu được phân bố hoạt
    động vượt quá khả năng cho phép của hệ thống làm mát, thiếu máy phát điện dự phòng hoặc
    các yếu tố khác.
    Mộ số lỗ hổng phổ biến mà chúng ta hay gặp trên thực tế là SQL Injection, XSS, cấu hình sai
    máy chủ, truyền dữ liệu nhạy cảm dưới dạng bản rõ,...
    Hiểu rõ về các lỗ hổng là bước đầu tiên để quản lý rủi ro cho hệ thống thông tin. Các hiểm
    họa khai thác các lỗ hổng để tạo nên các rủi ro đối với hệ thống.
    Rủi ro
    Rủi ro là khả năng một cái gì đó xấu sẽ xảy ra ví dụ như: các tổn thất tài chính do sự gián
    đoạn kinh doanh, mất quyền riêng tư, thiệt hại về mặt danh tiếng, liên đới đến các vấn đề pháp
    lý và thậm chí có thể bao gồm mất mạng. Rủi ro đề cập đến khả năng mất mát hoặc thiệt hại
    khi các hiểm họa khai thác lỗ hổng. Để một rủi ro xảy ra trong một môi trường cụ thể thì cần
    phải có cả một hiểm họa và một lỗ hổng mà hiểm họa cụ thể có thể khai thác. Ví dụ nếu
    chúng ta có một hệ thống máy tính, chúng ta có hiểm họa (mất điện) và một điểm yếu (lỗ
    hổng) phù hợp với nó (không có bộ lưu điện). Trong trường hợp này chúng ta chắc chắn có
    một rủi ro (tắt máy). Tuy nhiên, ngược lại, nếu chúng ta vẫn có cùng hiểm họa là mất điện,
    nhưng hệ thống máy tính lúc này lại có bộ lưu điện, chúng ta sẽ không còn rủi ro tắt máy
    trong trường hợp này bởi vì hiểm họa của chúng ta ở đây không có lỗ hổng để khai thác.

    Rủi ro có thể được định nghĩa như sau:


    Rủi ro = Hiểm họa x Lỗ hổng

    Bạn có thể giảm nguy cơ rủi ro bằng cách tạo và thực hiện kế hoạch quản lý rủi ro. Và để
    quản lý rủi ro hiệu quả, bạn cần đánh giá mức độ rủi ro:

    Mức độ rủi ro = Xác suất xảy ra rủi ro * Thiệt hại ước tính

    Ví dụ:
    Chúng ta có SQL Injection là một lỗ hổng
    Hiểm họa trộm dữ liệu nhạy cảm là một trong những mối đe dọa lớn nhất có thể xảy ra với lỗ
    hổng SQL Injection.
    Những kẻ tấn công có động cơ tài chính là một trong những tác nhân đe dọa.
    Rủi ro xảy ra khi dữ liệu nhạy cảm bị đánh cắp đó là các chi phí tài chính đáng kể (tổn thất tài
    chính và danh tiếng) cho doanh nghiệp
    Xác suất của một cuộc tấn công như vậy là rất cao, do SQL Injection là một lỗ hổng dễ tiếp
    cận, được khai thác rộng rãi và dễ dàng do các trang web thường phải tương tác với bên
    ngoài. Do đó, lỗ hổng SQL Injection trong kịch bản này phải được coi là lỗ hổng có mức độ
    rủi ro cao.
    Kết luận
    Để tóm tắt lại các khái niệm về hiểm họa, lỗ hổng và rủi ro, chúng ta sử dụng ví dụ về một
    cơn bão trong thế giới thực.
    Hiểm họa từ một cơn bão nằm ngoài tầm kiểm soát của chúng ta. Tuy nhiên, chúng ta biết
    rằng một cơn bão có thể có khả năng gây thiệt hại cho hệ thống và lúc này chúng ta cần đánh
    giá khả năng và mức độ thiệt hại có thể có đồng thời đánh giá các điểm yếu có thể xuất hiện
    đối với cơn bão và đưa ra một kế hoạch hành động để giảm thiểu tác động từ bão. Trong
    trường hợp này, một lỗ hổng của hệ thống sẽ là không có kế hoạch khôi phục dữ liệu trong
    trường hợp thiết bị lưu trữ vật lý của bạn bị hư hại do gió bão lốc hoặc mưa lớn. Rủi ro đối
    với doanh nghiệp của bạn sẽ là mất thông tin hoặc gián đoạn trong kinh doanh do không giải
    quyết được các lỗ hổng của bạn.

    Việc hiểu chính xác các định nghĩa của các thành phần bảo mật này sẽ giúp bạn hiệu quả hơn
    trong việc thiết kế một khung để xác định các mối đe dọa tiềm ẩn, phát hiện và giải quyết các
    lỗ hổng của bạn để giảm thiểu rủi ro.
    Sự khác biệt giữa lỗ hổng và hiểm họa, giữa lỗ hổng và rủi ro thường khá dễ hiểu. Tuy nhiên,
    sự khác biệt giữa hiểm họa và rủi ro có thể mang nhiều sắc thái hơn. Việc hiểu được sự khác
    biệt về thuật ngữ này cho phép khả năng liên kết rõ ràng hơn giữa các nhóm bảo mật và các
    bên khác nhau nhằm giúp hiểu rõ hơn về các mối đe dọa tiềm ẩn và ảnh hưởng của nó khi gây
    ra các rủi ro đến hệ thống. Sự hiểu biết tốt cũng là điều cần thiết để đánh giá rủi ro và quản lý
    rủi ro hiệu quả, đồng thời giúp thiết kế các giải pháp bảo mật, cũng như để xây dựng một
    chính sách bảo mật và chiến lược an ninh mạng tối ưu phù hợp cho tổ chức.
    Ví dụ:
    Các sơ đồ sau đây được cho là không bảo đảm an toàn, tiềm ẩn nhiều mối hiểm hoạ đe doạ an
    ninh hệ thống:
    Sơ đồ 1:

    Sơ đồ 2:

    Sơ đồ 3:
    Sơ đồ 4:

    Các sơ đồ trên sẽ tiềm ẩn các mối hiểm hoạ như:


    1- Hệ thống chưa cho thấy có giải pháp khi mất dữ liệu xảy ra
    2- Do không có tường lửa kiểm soát truy cập tập trung nên người dùng bên trong hệ
    thống dễ bị nhiễm ransomware
    3- Sơ đồ 1, 2, 3: Nếu đường mạng interet bị mất kết nối thì toàn bộ hệ thống bị gián đoạn
    kết nối internet.
    4- Do không có lớp tường lửa bảo vệ giám sát nên các máy tính bên trong dễ dàng truy
    cập tới các địa chỉ không tin cậy bên ngoài và dễ bị ăn cắp thông tin
    5- Server không được bảo vệ bởi Firewall nên hacker bên ngoài có thể tấn công trực diện
    6- Kẻ tấn công có thể sử dụng các công cụ hack wifi và thực hiện tấn công ARP rồi sử
    dụng Packet Sniffing để ăn cắp thông tin.
    7- ….
    Giải pháp:
    1- Tăng cường an ninh cho hệ thống với thiết lập các chính sách Policies cho mật khẩu
    2- Thiết lập tường lửa để bảo vệ, thiết lập vùng DMZ đưa Server vào vùng DMZ.
    3- Tăng cường bảo mật email với ứng dụng Digital signature
    4- Thiết lập hệ thống giám sát mạng bằng Zabbix server
    5- Xây dựng Domain Controller để quản trị xác thực người dùng tập trung
    6- Sử dụng Wifi Controller để tăng cường kiểm soát Wifi
    7- Thêm đường kết nối internet để gia tăng tính sẵn sàng High Availability (HA)
    8- ….
    Các sơ đồ sau là có triển khai các giải pháp tăng cường an ninh hệ thống cho các sơ đồ trên:
    Sơ đồ 1:

    Sơ đồ 2:
    Sinh viên giải thích được tường lửa kiểm soát truy cập giữa các thành phần sơ đồ mạng:
    THAM KHẢO&HƯỚNG DẪN cho LO3

    Sinh viên cần đọc rõ tình huống cụ thể và tra cứu vào bộ quy tắc ứng xử để xem xét phân tích
    cá nhân hành động trong tình huống đó vi phạm vào điều lệ nào trong bộ quy tắc ứng xử cũng
    như vi phạm điều luật an ninh mạng và hình thức xử lý.
    Một số tình huống mẫu để sinh viên phân tích:
    Người quản trị hệ thống website của 1 ngân hàng phát hiện ra cơ chế thực hiện backup và
    Restore của hệ thống có vấn đề và nó đã không hoạt động hơn 6 tháng nay. Tuy nhiên anh ta
    không biết cách khắc phục và anh ta cũng không báo cho ban giám đốc. Tháng vừa rồi hệ
    thống Website bị sự cố và cần các bản backup để restore hệ thống thì không có để thực hiện.
    - Dựa vào quy tắc ứng xử ACM, hãy phân tích các hành vi vi phạm quy tắc ứng xử của
    người quản trị.
    - Nếu ở vị trí người quản trị hệ thống, bạn sẽ hành xử như thế nào?

    Một nhân viên IT của công ty đầu tư chứng khoán có thể theo dõi và đọc được emails,
    documentations, thậm chí ghi băng được những trao đổi CEO, CFO và điều này sẽ giúp nhân
    viên đó mua bán stocks hữu hiệu, kiếm được nhiều tiền cho bản thân hoặc bán tin tức cho
    những đối thủ cạnh tranh... Trong một lần uống café nhân viên IT đó đã tiết lộ thông tin bảo
    mật cho một người bạn thân và sau đó nhận về một số tiền gọi là quà là 100 ngàn đô.
    1. Dựa vào quy tắc ứng xử ACM, hãy phân tích các hành vi vi phạm quy tắc ứng xử vi
    phạm của bạn A.
    2. Nếu ở vị trí người người A, bạn sẽ hành xử như thế nào?
    Bạn làm cho công ty chuyên thiết kế Website cho các khách hàng. Ban lãnh đạo của công ty
    luôn yêu cầu bạn dùng chính Website của khách hàng mà công ty thiết kế để đặt backlinks
    đến Website công ty mình. Mục tiêu là SEO Website cho công ty. Các khách hàng không hề
    biết việc làm này của công ty. Và điều đáng nói hơn nữa là có những website công ty đặt
    backlink thông qua một dòng text có fontsize nhỏ (2px), màu chữ trắng vì sợ khách hàng biết
    và phàn nàn. Bạn đã làm đều này từ nhiều năm trước đến nay.
    - Dựa vào qui tắc ứng xử ACM (Association for Computing Machinery), Anh/Chị hãy
    cho biết Ban lãnh đạo của công ty vi phạm nguyên tắc nào? Giải thích ý nghĩa của
    nguyên tắc đó và tính đúng/sai của Ban lãnh đạo công ty trên.
    - Dựa vào Luật An ninh mạng Việt Nam (Luật số: 24/2018/QH14), Anh/Chị hãy cho
    biết Ban lãnh đạo của công ty vi phạm điều luật nào? Giải thích ý nghĩa của điều luật
    đó và tính đúng/sai của hành vi trên.
    Bạn là kỹ sư phần mềm tại một công ty mới thành lập. Công ty đang phát triển một ứng dụng
    mới cho phép nhân viên bán hàng tạo ra và gửi email báo giá bán hàng và hóa đơn của khách
    hàng từ điện thoại thông minh của họ. Bộ phận maketing của công ty bạn đã giới thiệu ứng
    dụng này cho một tập đoàn lớn và nói rằng ứng dụng này hiện nay đã sẵn sàng. Nhưng thực
    tế, tại thời điểm này ứng dụng vẫn còn chứa khá nhiều lỗi, cần phải hơn 1 tháng thì ứng dụng
    mới được khắc phục các lổi nghiêm trọng. Tuy nhiên, trưởng nhóm testing đã báo cáo rằng tất
    cả các lỗi đã được tìm ra và có thể khắc phục dễ dàng. Do sự cạnh tranh khốc liệt trong ngành
    công nghiệp phần mềm trên điện thoại thông minh, ban giám đốc quyết định công ty phải là
    “người đầu tiên” đưa ứng dụng này ra thị trường cho dù vẫn biết ứng dụng chưa hoàn chỉnh.
    Nếu sản phẩm này không xuất hiện đầu tiên, công ty khởi nghiệp của bạn có thể sẽ bị phá sản.
    Bạn là người có trách nhiệm đưa sản phẩm đó ra thị trường.
    1. Dựa vào quy tắc ứng xử ACM, hãy phân tích các hành vi vi phạm quy tắc ứng xử vi
    phạm của ban giám đốc.
    2. Dựa vào quy tắc ứng xử ACM, hãy phân tích các hành vi vi phạm quy tắc ứng xử vi
    phạm của bạn nếu bạn đồng ý đưa sản phẩm ra trong tuần tới.
    3. Nếu bạn muốn đưa sản phẩm ra tuần tới mà không vi phạm quy tắc xứng xử thì bạn sẽ
    làm gì và giải thích lý do tại sao
    Để giám sát tất cả hành động truy cập web của các nhân viên trong công ty. Ban giám đốc đã
    xây dựng một ứng dụng ghi nhận lại hết tất cả các lịch sử sử dụng máy tính của các nhân
    viên. Phần mềm ghi nhận lịch sử truy cập web, ghi nhận lại hết thao tác gõ bàn phím, các
    màn hình máy tính được theo dõi 24/24. Ban giám đốc thường xuyên vào ứng dụng này kiểm
    soát xem ai đã truy cập nội dung mang tính giải trí trong giờ làm việc hoặc đang làm gì trên
    màn hình,... nhằm mục tiêu nhắc nhỡ cũng như phạt cảnh cáo các nhân viên vi phạm.
    1. Nếu bạn là ban giám đốc - người quyết định giám sát nhân viên bằng hình thức trên
    thì bạn có thông báo trước cho người dùng hay không?
    2. Dựa vào quy tắc ứng xử ACM, hãy phân tích các hành vi vi phạm quy tắc ứng xử vi
    phạm của ban giám đốc này
    Một công ty kinh doanh phần mềm sử dụng phần mềm Ptraker. Đây là phần mềm giúp người
    dùng có thể xem tin nhắn, danh bạ, ghi âm cuộc gọi, định vị điện thoại, quay phim, chụp ảnh,
    bật - tắt 3G/GPRS của điện thoại bị giám sát. Thậm chí người sử dụng còn có thể ra lệnh điều
    khiển từ xa điện thoại bị cài Ptracker bằng cách nhắn tin tới điện thoại này.
    1. Dựa vào quy tắc ứng xử ACM, hãy phân tích các hành vi vi phạm quy tắc ứng xử vi
    phạm của người ra quyết định kinh doanh phần mềm này.
    2. Dựa vào quy tắc ứng xử ACM, hãy phân tích các hành vi vi phạm quy tắc ứng xử vi
    phạm của người dùng phần mềm trên để theo dõi và điều khiển điện thoại của người khác
    Người quản trị mạng của một công ty nhỏ được giao giải quyết mọi vấn đề liên quan đến việc
    cài đặt, cấu hình các phần cứng cũng như phần mềm trên hệ thống máy tính. Khi cài mới
    hoặc cập nhật các phần mềm đều có các đề xuất chi tiền mua các phần mềm có bản quyền.
    Tuy nhiên người quản trị không bao giờ mua các phần mềm có bản quyền đó về cài đặt mà
    chỉ cài đặt các bản crack. Số tiền mua bản quyền hằng năm người quản trị chiếm đoạt hết.
    Do dùng các phần mềm crack nên thỉnh thoảng người quản trị phải tìm các key crack trên
    các trang crack để cấu hình lại các phần mềm.
    1. Dựa vào quy tắc ứng xử ACM, hãy phân tích các hành vi vi phạm quy tắc ứng xử vi
    phạm của người quản trị.
    2. Phân tích mối nguy hại của hành vi của người quản trị mạng ảnh hưởng đến doanh
    nghiệp.
    Một số tình huống tìm hiểu Luật An ninh mạng:
    Tình huống 1. Do thiếu tiền ăn chơi, A và B đã lập ra nhiều tài khoản facebook ảo để bán
    điện thoại qua mạng. Hai bạn chụp ảnh những chiếc điện thoại và lấy những hình ảnh trên
    mạng để đăng bán với giá rẻ hơn so với giá thị trường và đặt ra quy định là khách hàng mua
    hàng được quyền đổi trả nhưng không được xem hàng trước khi thanh toán tiền. Đến lúc giao
    hàng, 2 bạn đã bỏ một hộp khẩu trang y tế thay vì điện thoại. Sau đó, 02 bạn xóa tài khoản
    facebook với mục đích khách hàng sau khi phát hiện sẽ không liên lạc được.
    Hỏi, nếu A và B rủ em tham gia thì em có tham gia cùng không? Vì sao?
    Gợi ý trả lời:
    Không, vì hành vi của A và B là vi phạm pháp luật. Vi phạm điều cấm của Luật An ninh
    mạng (hành vi sử dụng công nghệ thông tin để chiếm đoạt tải sản).
    Điều 174 Bộ luật hình sự 2015 sửa đổi bổ sung quy định về  Tội lừa đảo chiếm đoạt tài sản
    nhưu sau:
    Tìm hiểu Luật An ninh mạng 2018
    1. Người nào bằng thủ đoạn gian dối chiếm đoạt tài sản của người khác trị giá từ 2.000.000
    đồng đến dưới 50.000.000 đồng hoặc dưới 2.000.000 đồng nhưng thuộc một trong các trường
    hợp sau đây, thì bị phạt cải tạo không giam giữ đến 03 năm hoặc phạt tù từ 06 tháng đến 03
    năm:
    a) Đã bị xử phạt vi phạm hành chính về hành vi chiếm đoạt tài sản mà còn vi phạm;
    b) Đã bị kết án về tội này hoặc về một trong các tội quy định tại các điều 168, 169, 170, 171,
    172, 173, 175 và 290 của Bộ luật này, chưa được xóa án tích mà còn vi phạm;
    c) Gây ảnh hưởng xấu đến an ninh, trật tự, an toàn xã hội;
    d) Tài sản là phương tiện kiếm sống chính của người bị hại và gia đình họ96.
    2. Phạm tội thuộc một trong các trường hợp sau đây, thì bị phạt tù từ 02 năm đến 07 năm:
    a) Có tổ chức;
    b) Có tính chất chuyên nghiệp;
    c) Chiếm đoạt tài sản trị giá từ 50.000.000 đồng đến dưới 200.000.000 đồng;
    d) Tái phạm nguy hiểm;
    đ) Lợi dụng chức vụ, quyền hạn hoặc lợi dụng danh nghĩa cơ quan, tổ chức;
    e) Dùng thủ đoạn xảo quyệt;
    g)97 (được bãi bỏ)
    3. Phạm tội thuộc một trong các trường hợp sau đây, thì bị phạt tù từ 07 năm đến 15 năm:
    a) Chiếm đoạt tài sản trị giá từ 200.000.000 đồng đến dưới 500.000.000 đồng;
    b)98 (được bãi bỏ)
    c) Lợi dụng thiên tai, dịch bệnh.
    4. Phạm tội thuộc một trong các trường hợp sau đây, thì bị phạt tù từ 12 năm đến 20 năm hoặc
    tù chung thân:
    a) Chiếm đoạt tài sản trị giá 500.000.000 đồng trở lên;
    Sự cần thiết ban hành Luật An ninh mạng
    b)99 (được bãi bỏ)
    c) Lợi dụng hoàn cảnh chiến tranh, tình trạng khẩn cấp.
    5. Người phạm tội còn có thể bị phạt tiền từ 10.000.000 đồng đến 100.000.000 đồng, cấm
    đảm nhiệm chức vụ, cấm hành nghề hoặc làm công việc nhất định từ 01 năm đến 05 năm hoặc
    tịch thu một phần hoặc toàn bộ tài sản.
    Tình huống 2. A và B là hai bạn rất thân từ khi còn là học sinh tiểu học đến trung học cơ sở,
    nhưng đến năm lớp 8 thì A và B không còn thân thiết và chơi với nhau nữa.
    B đã dùng tài khoản mạng xã hội Facebook để đăng tải các thông tin về bí mật của cá nhân A
    như tính cách, những đặc điểm trên cơ thể, về gia đình A, nói xấu A…và chia sẻ thông tin này
    đến bạn bè của A và nhận được nhiều bình luận từ người dùng Facebook. A rất buồn và đã đề
    nghị B gở bỏ các thông tin nhưng B không gở dẫn đến A phải bỏ học.
    Hỏi: Việc B dùng mạng xã hội Facebook để đăng tải các thông tin về bí mật của cá nhân A
    như tính cách, những đặc điểm trên cơ thể, về gia đình A có đúng pháp luật không? Vì sao
    Gợi ý Trả lời:
    Hành vi của B là vi phạm pháp luật, vì theo Điều 18 Luật An ninh mạng thì Hành vi sử dụng
    không gian mạng, công nghệ thông tin, phương tiện điện tử Đăng tải, phát tán thông tin trên
    không gian mạng có nội dung bí mật cá nhân, bí mật gia đình và đời sống riêng tư gây ảnh
    hưởng đến danh dự, uy tín, nhân phẩm, quyền và lợi ích hợp pháp của cơ quan, tổ chức, cá
    nhân là vi phạm pháp luật.
    Hành vi của B sẽ bị xử phạt như thế nào: Phạt tiền từ 10-20 triệu đồng đối với hành vi: Cung
    cấp, trao đổi, truyền đưa hoặc lưu trữ, sử dụng thông tin số nhằm đe dọa, quấy rối, xuyên tạc,
    vu khống, xúc phạm uy tín của tổ chức, danh dự, nhân phẩm, uy tín của người khác.
     Nghị định số 174/2013/NĐ-CP ngày 03/11/2013 của Chính phủ quy định xử phạt vi pham
    hành chính trong lĩnh vực bưu chính, viễn thông, công nghệ thông tin và tần số vô tuyến điện.
    Tình huống 3. Theo các bạn khi sử dụng mạng internet, nhất là mạng xã hội như facebook thì
    chúng ta không được đăng tải, phát tán những nội dung gì?
    Gợi ý trả lời:
    Theo quy định tại Điều 18 Luật An ninh mạng thì hành vi Đăng tải, phát tán thông tin trên
    không gian mạng có nội dung quy định dưới đây là vi phạm pháp luật:
    1. Thông tin trên không gian mạng có nội dung tuyên truyền chống Nhà nước Cộng hòa xã
    hội chủ nghĩa Việt Nam bao gồm:
    a) Tuyên truyền xuyên tạc, phỉ báng chính quyền nhân dân;
    b) Chiến tranh tâm lý, kích động chiến tranh xâm lược, chia rẽ, gây thù hận giữa các dân tộc,
    tôn giáo và nhân dân các nước;
    c) Xúc phạm dân tộc, quốc kỳ, quốc huy, quốc ca, vĩ nhân, lãnh tụ, danh nhân, anh hùng dân
    tộc.
    2. Thông tin trên không gian mạng có nội dung kích động gây bạo loạn, phá rối an ninh, gây
    rối trật tự công cộng bao gồm:
    a) Kêu gọi, vận động, xúi giục, đe dọa, gây chia rẽ, tiến hành hoạt động vũ trang hoặc dùng
    bạo lực nhằm chống chính quyền nhân dân;
    b) Kêu gọi, vận động, xúi giục, đe dọa, lôi kéo tụ tập đông người gây rối, chống người thi
    hành công vụ, cản trở hoạt động của cơ quan, tổ chức gây mất ổn định về an ninh, trật tự.
    3. Thông tin trên không gian mạng có nội dung làm nhục, vu khống bao gồm:
    a) Xúc phạm nghiêm trọng danh dự, uy tín, nhân phẩm của người khác;
    b) Thông tin bịa đặt, sai sự thật xâm phạm danh dự, uy tín, nhân phẩm hoặc gây thiệt hại đến
    quyền và lợi ích hợp pháp của cơ quan, tổ chức, cá nhân khác.
    4. Thông tin trên không gian mạng có nội dung xâm phạm trật tự quản lý kinh tế bao gồm:
    a) Thông tin bịa đặt, sai sự thật về sản phẩm, hàng hóa, tiền, trái phiếu, tín phiếu, công trái,
    séc và các loại giấy tờ có giá khác;
    b) Thông tin bịa đặt, sai sự thật trong lĩnh vực tài chính, ngân hàng, thương mại điện tử, thanh
    toán điện tử, kinh doanh tiền tệ, huy động vốn, kinh doanh đa cấp, chứng khoán.
    5. Thông tin trên không gian mạng có nội dung bịa đặt, sai sự thật gây hoang mang trong
    Nhân dân, gây thiệt hại cho hoạt động kinh tế – xã hội, gây khó khăn cho hoạt động của cơ
    quan nhà nước hoặc người thi hành công vụ, xâm phạm quyền và lợi ích hợp pháp của cơ
    quan, tổ chức, cá nhân khác.
    Tình huống 4. Bạn A học lớp 9 rất thích đốt pháo, lân la lên mạng bạn A được một tài khoản
    facebook mời mua pháo với giá 200k/hộp. A đã nói dối bố mẹ là cần 200k để nộp tiền học,
    sau khi bố mẹ cho tiền thì A đã mua card điện thoại rồi nhắn mã số cho người bán pháo trên
    mạng để mua pháo về đốt.
    Hỏi: Việc A lên mạng xã hội mua pháo có đúng không?, vì sao?
    Gợi ý trả lời:
    Hành vi của người bán pháo cũng như của A là vi phạm pháp luật, vì theo Điểm d Khoản 1
    Điều 18 Luật An ninh mạng thì hành vi Tuyên truyền, quảng cáo, mua bán hàng hóa, dịch vụ
    thuộc danh mục cấm theo quy định của pháp luật là vi phạm pháp luật.
    Hành vi của A sẽ bị xử lý: Phạt tiền từ 5 đến 10 triệu đồng về hành vi Sản xuất, tàng trữ, mua,
    bán, vận chuyển trái phép pháo, thuốc pháo và đồ chơi nguy hiểm (Nghị định 167/2013/NĐ-
    CP quy định xử phạt vi phạm hành chính trong lĩnh vực an ninh, trật tự, an toàn xã hội;
    phòng, chống tệ nạn xã hội; phòng cháy và chữa cháy; phòng, chống bạo lực gia đình)

    You might also like