Professional Documents
Culture Documents
AISe C03
AISe C03
CHƯƠNG 3
QUẢN LÝ AN TOÀN THÔNG TIN
1
Nguyễn Hữu Bình-Khoa Kế toán-Trường Kinh Doanh-UEH-huubinh_ais@ueh.edu.vn
Tình huống
• Có vẻ như Janet Kinneck có vấn đề, và giờ Charlie phải giải quyết nó. Cụ thể, tên của
Janet – phó giám đốc phát triển thị trường truyền thông xã hội trong công ty tiếp thị
SLS – đã xuất hiện trong báo cáo lạm dụng hàng tháng. Do đó, Charlie đã bắt đầu yêu
cầu nhóm điều hành an ninh chuẩn bị báo cáo này, dựa trên hoạt động kết nối mạng
trong tháng trước. Tất cả nhân viên SLS đã được thông báo và đồng ý với việc giám sát
này bất cứ khi nào họ sử dụng hệ thống mạng của công ty.
• SLS có chính sách khá thoải mái, quy định cách thức và thời điểm nhân viên có thể sử
dụng máy tính và mạng của công ty cho lý do cá nhân của họ. Charlie đã thuyết phục
Giám đốc điều hành Fred Chin và các giám đốc điều hành cấp cao khác rằng nhân viên
nên có cuộc sống hòa nhập vào nơi làm việc, và chi phí phát sinh từ việc sử dụng hệ
thống mạng cho các vấn đề cá nhân là không đáng kể, theo Charlie, mức chi phí trong
giới hạn nhất định hoàn toàn xứng đáng với năng suất được cải thiện của nhân viên khi
họ cảm thấy thoải mái. Tuy nhiên, chính những quy định thoáng này giờ lại là những
"ranh giới nhất định" mà công ty đang giải quyết.
1
02-Feb-23
Tình huống
Charlie xem lại bản báo cáo và dữ liệu trong đó một lần nữa rồi nhấc điện thoại
gọi cho Gladys Williams – Giám đốc thông tin (CIO) – của công ty. Charlie đã cân
nhắc xem cuộc họp này có nên để Fred tham gia hay không, và anh ấy nghĩ nên
hỏi ý kiến của Gladys, cô ấy có thể quyết định đưa Fred vào nếu cô ấy xác định
rằng sự hiện diện của anh ấy là cần thiết.
Gladys bắt máy và nói:“Chào, Charlie, có chuyện gì vậy?” Anh ấy trả lời:“Này,
Gladys, chúng tôi gặp vấn đề với báo cáo mới về lạm dụng hàng tháng mà
chúng tôi đang thực hiện.” Gladys biết bản báo cáo, vì cô ấy đã hỗ trợ để tạo ra
nó. Cô ấy biết điều gì sẽ xảy ra tiếp theo vì cô ấy sẽ được thông báo khi các nhân
viên cấp cao có liên quan đến nghi vấn lạm dụng.
Tình huống
Charlie tiếp tục:“Chà, dù sao thì, có vẻ như chúng ta có vấn đề với Janet Kinneck
ở bộ phận tiếp thị. Gần như tôi có thể biết rõ mà không cần điều tra máy tính
của cô ấy, cô ấy đang điều hành một giải đấu trò chơi thể thao thương mại bên
ngoài văn phòng của mình trên tầng sáu.”
Gladys suy nghĩ một giây rồi trả lời:“Đối với tôi, đó không phải là một cách sử
dụng chấp nhận được!”.
2
02-Feb-23
Nội dung
1. Lập kế hoạch và quản trị an toàn thông tin
2. Chính sách, tiêu chuẩn, và thực tiễn triển khai an toàn thông tin
3. Chương trình giáo dục, huấn luyện và nhận thức về an toàn
4. Bảng kế hoạch chi tiết về an toàn thông tin
6
Nguyễn Hữu Bình-Khoa Kế toán-Trường Kinh Doanh-UEH-huubinh_ais@ueh.edu.vn
3
02-Feb-23
Thuật ngữ
CISO Giám đốc an toàn thông tin
Electronic security perimeter Vành đai an toàn điện tử
Enterprise information security policies (EISP) Chính sách an toàn thông tin doanh nghiệp
7
Nguyễn Hữu Bình-Khoa Kế toán-Trường Kinh Doanh-UEH-huubinh_ais@ueh.edu.vn
Thuật ngữ
Tactical objectives Mục tiêu chiến thuật
Tactical plans Kế hoạch chiến thuật
The Information Security Blueprint Bảng kế hoạch chi tiết về an toàn thông tin
8
Nguyễn Hữu Bình-Khoa Kế toán-Trường Kinh Doanh-UEH-huubinh_ais@ueh.edu.vn
4
02-Feb-23
Nội dung
1. Lập kế hoạch và quản trị an toàn thông tin
2. Chính sách, tiêu chuẩn, và thực tiễn triển khai an toàn thông tin
3. Chương trình giáo dục, huấn luyện và nhận thức về an toàn
4. Bảng kế hoạch chi tiết về an toàn thông tin
10
Nguyễn Hữu Bình-Khoa Kế toán-Trường Kinh Doanh-UEH-huubinh_ais@ueh.edu.vn
10
5
02-Feb-23
11
Nguyễn Hữu Bình-Khoa Kế toán-Trường Kinh Doanh-UEH-huubinh_ais@ueh.edu.vn
11
Hoạt động lãnh đạo an toàn thông tin có thể sử dụng cách tiếp cận GRC:
quản trị (Governance), quản lý rủi ro (Risk management) và tuân thủ
(Compliance) để phát triển các kế hoạch chiến lược (strategic planning)
và thực hiện trách nhiệm quản lý một cách tốt nhất.
12
Nguyễn Hữu Bình-Khoa Kế toán-Trường Kinh Doanh-UEH-huubinh_ais@ueh.edu.vn
12
6
02-Feb-23
13
Nguyễn Hữu Bình-Khoa Kế toán-Trường Kinh Doanh-UEH-huubinh_ais@ueh.edu.vn
13
14
Nguyễn Hữu Bình-Khoa Kế toán-Trường Kinh Doanh-UEH-huubinh_ais@ueh.edu.vn
14
7
02-Feb-23
15
Nguyễn Hữu Bình-Khoa Kế toán-Trường Kinh Doanh-UEH-huubinh_ais@ueh.edu.vn
15
16
Nguyễn Hữu Bình-Khoa Kế toán-Trường Kinh Doanh-UEH-huubinh_ais@ueh.edu.vn
16
8
02-Feb-23
17
Nguyễn Hữu Bình-Khoa Kế toán-Trường Kinh Doanh-UEH-huubinh_ais@ueh.edu.vn
17
18
9
02-Feb-23
19
Nguyễn Hữu Bình-Khoa Kế toán-Trường Kinh Doanh-UEH-huubinh_ais@ueh.edu.vn
19
20
Nguyễn Hữu Bình-Khoa Kế toán-Trường Kinh Doanh-UEH-huubinh_ais@ueh.edu.vn
20
10
02-Feb-23
21
Nguyễn Hữu Bình-Khoa Kế toán-Trường Kinh Doanh-UEH-huubinh_ais@ueh.edu.vn
21
22
Nguyễn Hữu Bình-Khoa Kế toán-Trường Kinh Doanh-UEH-huubinh_ais@ueh.edu.vn
22
11
02-Feb-23
23
Nguyễn Hữu Bình-Khoa Kế toán-Trường Kinh Doanh-UEH-huubinh_ais@ueh.edu.vn
23
24
12
02-Feb-23
25
Nội dung
1. Lập kế hoạch và quản trị an toàn thông tin
2. Chính sách, tiêu chuẩn, và thực tiễn triển khai an toàn thông tin
3. Chương trình giáo dục, huấn luyện và nhận thức về an toàn
4. Bảng kế hoạch chi tiết về an toàn thông tin
26
Nguyễn Hữu Bình-Khoa Kế toán-Trường Kinh Doanh-UEH-huubinh_ais@ueh.edu.vn
26
13
02-Feb-23
2.1 Chính sách làm nền tảng cho việc lập kế hoạch
2.2 Phát triển và triển khai chính sách an toàn hữu hiệu
2.3 Quản lý chính sách
27
Nguyễn Hữu Bình-Khoa Kế toán-Trường Kinh Doanh-UEH-huubinh_ais@ueh.edu.vn
27
28
Nguyễn Hữu Bình-Khoa Kế toán-Trường Kinh Doanh-UEH-huubinh_ais@ueh.edu.vn
28
14
02-Feb-23
29
Nguyễn Hữu Bình-Khoa Kế toán-Trường Kinh Doanh-UEH-huubinh_ais@ueh.edu.vn
29
2.1. Chính sách làm nền tảng cho việc lập kế hoạch
Các chính sách hoạt động giống như luật trong một tổ chức vì:
Quy định hành vi được chấp nhận và không được chấp nhận
Quy định các hình phạt đối với việc không tuân thủ chính sách và quy trình
kháng nghị, bao gồm các tiêu chuẩn là những tuyên bố chi tiết hơn về những
gì phải làm để tuân thủ chính sách, có các yêu cầu tuân thủ giống như các
chính sách
Tiêu chuẩn có thể là một phần của văn hóa tổ chức, hoặc ban hành dạng
không chính thức (de facto standards)
Tiêu chuẩn có thể được công bố, xem xét kỹ lưỡng, phê chuẩn, và ban
hành dạng chính thức (de jure standards)
30
Nguyễn Hữu Bình-Khoa Kế toán-Trường Kinh Doanh-UEH-huubinh_ais@ueh.edu.vn
30
15
02-Feb-23
2.1. Chính sách làm nền tảng cho việc lập kế hoạch
31
Nguyễn Hữu Bình-Khoa Kế toán-Trường Kinh Doanh-UEH-huubinh_ais@ueh.edu.vn
31
2.1. Chính sách làm nền tảng cho việc lập kế hoạch
Ví dụ về mối quan hệ giữa Chính sách, Tiêu chuẩn, Thực tiễn
triển khai, Thủ tục, và Hướng dẫn
32
Nguyễn Hữu Bình-Khoa Kế toán-Trường Kinh Doanh-UEH-huubinh_ais@ueh.edu.vn
32
16
02-Feb-23
2.1. Chính sách làm nền tảng cho việc lập kế hoạch
Chính sách có chức năng như luật tổ chức quy định hành vi chấp nhận
được và không chấp nhận được
Tiêu chuẩn: tuyên bố chi tiết hơn về những gì phải được thực hiện để tuân
thủ chính sách
Các thực tiễn triển khai, thủ tục và hướng dẫn giải thích hiệu quả cách tuân
thủ chính sách.
Để một chính sách có hiệu quả, nó phải được phổ biến, đọc, hiểu và đồng
ý đúng cách bởi tất cả các thành viên của tổ chức và được thi hành thống
nhất.
33
Nguyễn Hữu Bình-Khoa Kế toán-Trường Kinh Doanh-UEH-huubinh_ais@ueh.edu.vn
33
34
17
02-Feb-23
Answer: b. standard
Standards are more detailed statements of what must be done to comply with policy.
Standards may be informal or part of an organizational culture or standards may be
published. Practices, procedures, and guidelines effectively explain how to comply with
policy.
35
2.1. Chính sách làm nền tảng cho việc lập kế hoạch
Ý nghĩa của thuật ngữ chính sách an toàn phụ thuộc vào ngữ cảnh. Nói chung,
chính sách an toàn là một tập hợp các quy tắc bảo vệ tài sản của tổ chức, cung
cấp các quy tắc để bảo vệ tài sản thông tin của tổ chức
Nhà quản lý phải xác định ba loại chính sách an toàn, theo Special Publication
(SP) 800-14 của Viện Tiêu chuẩn và Công nghệ Quốc gia (NIST):
Chính sách an toàn thông tin doanh nghiệp (Enterprise information security policies
– EISP)
Chính sách an toàn đặc thù (Issue-specific security policies – ISSP)
Chính sách an toàn dành riêng cho hệ thống (Systems-specific security policies –
SysSP)
36
Nguyễn Hữu Bình-Khoa Kế toán-Trường Kinh Doanh-UEH-huubinh_ais@ueh.edu.vn
36
18
02-Feb-23
37
Nguyễn Hữu Bình-Khoa Kế toán-Trường Kinh Doanh-UEH-huubinh_ais@ueh.edu.vn
37
38
Nguyễn Hữu Bình-Khoa Kế toán-Trường Kinh Doanh-UEH-huubinh_ais@ueh.edu.vn
38
19
02-Feb-23
39
Nguyễn Hữu Bình-Khoa Kế toán-Trường Kinh Doanh-UEH-huubinh_ais@ueh.edu.vn
39
40
20
02-Feb-23
41
Nguyễn Hữu Bình-Khoa Kế toán-Trường Kinh Doanh-UEH-huubinh_ais@ueh.edu.vn
41
42
Nguyễn Hữu Bình-Khoa Kế toán-Trường Kinh Doanh-UEH-huubinh_ais@ueh.edu.vn
42
21
02-Feb-23
43
44
22
02-Feb-23
45
Nội dung
1. Lập kế hoạch và quản trị an toàn thông tin
2. Chính sách, tiêu chuẩn, và thực tiễn triển khai an toàn thông tin
3. Chương trình giáo dục, huấn luyện và nhận thức về an toàn
4. Bảng kế hoạch chi tiết về an toàn thông tin
46
Nguyễn Hữu Bình-Khoa Kế toán-Trường Kinh Doanh-UEH-huubinh_ais@ueh.edu.vn
46
23
02-Feb-23
47
Nguyễn Hữu Bình-Khoa Kế toán-Trường Kinh Doanh-UEH-huubinh_ais@ueh.edu.vn
47
48
Nguyễn Hữu Bình-Khoa Kế toán-Trường Kinh Doanh-UEH-huubinh_ais@ueh.edu.vn
48
24
02-Feb-23
49
Nguyễn Hữu Bình-Khoa Kế toán-Trường Kinh Doanh-UEH-huubinh_ais@ueh.edu.vn
49
50
Nguyễn Hữu Bình-Khoa Kế toán-Trường Kinh Doanh-UEH-huubinh_ais@ueh.edu.vn
50
25
02-Feb-23
51
Nguyễn Hữu Bình-Khoa Kế toán-Trường Kinh Doanh-UEH-huubinh_ais@ueh.edu.vn
51
52
Nguyễn Hữu Bình-Khoa Kế toán-Trường Kinh Doanh-UEH-huubinh_ais@ueh.edu.vn
52
26
02-Feb-23
53
Nguyễn Hữu Bình-Khoa Kế toán-Trường Kinh Doanh-UEH-huubinh_ais@ueh.edu.vn
53
54
Nguyễn Hữu Bình-Khoa Kế toán-Trường Kinh Doanh-UEH-huubinh_ais@ueh.edu.vn
54
27
02-Feb-23
55
Nguyễn Hữu Bình-Khoa Kế toán-Trường Kinh Doanh-UEH-huubinh_ais@ueh.edu.vn
55
56
Nguyễn Hữu Bình-Khoa Kế toán-Trường Kinh Doanh-UEH-huubinh_ais@ueh.edu.vn
56
28
02-Feb-23
57
Nguyễn Hữu Bình-Khoa Kế toán-Trường Kinh Doanh-UEH-huubinh_ais@ueh.edu.vn
57
58
29
02-Feb-23
Answer: c. awareness
Training is how an organization prepares members on how they should react and
respond when threats are encountered in specified situations. Education seeks to
provide theoretical foundations to members of the organization as to why it has
prepared in the way it has and why the organization reacts in the ways it does.
Alertness is not an element covered in this module.
59
60
Nguyễn Hữu Bình-Khoa Kế toán-Trường Kinh Doanh-UEH-huubinh_ais@ueh.edu.vn
60
30
02-Feb-23
61
62
31
02-Feb-23
63
Nguyễn Hữu Bình-Khoa Kế toán-Trường Kinh Doanh-UEH-huubinh_ais@ueh.edu.vn
63
64
32
02-Feb-23
65
66
33
02-Feb-23
67
68
34
02-Feb-23
69
Nguyễn Hữu Bình-Khoa Kế toán-Trường Kinh Doanh-UEH-huubinh_ais@ueh.edu.vn
69
70
Nguyễn Hữu Bình-Khoa Kế toán-Trường Kinh Doanh-UEH-huubinh_ais@ueh.edu.vn
70
35
02-Feb-23
Hình 3-10 minh họa giữa mỗi lớp của lĩnh vực bảo mật sử dụng phải tồn tại một
lớp bảo vệ. Ví dụ: “chính sách và luật pháp”, “giáo dục và huấn luyện” là những
biện pháp bảo vệ được đặt giữa con người và thông tin. Việc kiểm soát cũng
được thực hiện giữa các hệ thống và thông tin, giữa mạng và hệ thống máy tính,
và giữa Internet và mạng nội bộ. Điều này củng cố khái niệm phòng thủ sâu. Có
thể sử dụng nhiều cách kiểm soát để bảo vệ thông tin. Do mọi người có thể truy
cập trực tiếp vào từng vòng cũng như vào thông tin ở vị trí cốt lõi của mô hình,
nên khối bảo vệ cần tập trung cố gắng kiểm soát truy cập bằng cách dựa vào con
người so với dựa vào công nghệ. Các thành viên của tổ chức phải trở thành một
lực lượng bảo vệ được đào tạo, thực hiện và duy trì hiệu quả, nếu không họ cũng
sẽ gây ra mối đe dọa đối với thông tin.
71
Nguyễn Hữu Bình-Khoa Kế toán-Trường Kinh Doanh-UEH-huubinh_ais@ueh.edu.vn
71
72
Nguyễn Hữu Bình-Khoa Kế toán-Trường Kinh Doanh-UEH-huubinh_ais@ueh.edu.vn
72
36
02-Feb-23
73
74
37
02-Feb-23
Information security safeguards focus on lower-level planning that deal with the
functionality of the organization’s security; they include disaster recovery planning,
incident response planning, and SETA programs and are collectively called _____ controls.
Answer: d. operational
Operational controls address personnel and physical security and the protection of
production inputs/outputs, while managerial controls set the direction and scope of the
security processes and provide detailed instructions for their conduct, and technical
controls are the tactical and technical implementations related to designing and
integrating security in the organization.
75
76
Nguyễn Hữu Bình-Khoa Kế toán-Trường Kinh Doanh-UEH-huubinh_ais@ueh.edu.vn
76
38
02-Feb-23
77
Nguyễn Hữu Bình-Khoa Kế toán-Trường Kinh Doanh-UEH-huubinh_ais@ueh.edu.vn
77
78
39
02-Feb-23
79
Nguyễn Hữu Bình-Khoa Kế toán-Trường Kinh Doanh-UEH-huubinh_ais@ueh.edu.vn
79
80
Nguyễn Hữu Bình-Khoa Kế toán-Trường Kinh Doanh-UEH-huubinh_ais@ueh.edu.vn
80
40
02-Feb-23
Bài tập
Câu hỏi ôn tập (review questions)
1, 5, 7, 17, 18, 19, 20, 21
Bài tập (exercises)
2, 3
81
41