AISe C03

02-Feb-23
CHƯƠNG 3
QUẢN LÝ AN TOÀN THÔNG TIN
1
Nguyễn Hữu Bình-Khoa Kế toán-Trường Kinh Doanh-UEH-huubinh_ais@ueh.edu.vn
Tình huống
• Có vẻ như Janet Kinneck có vấn đề, và giờ Charlie phải giải quyết nó. Cụ thể, tên của
Janet – phó giám đốc phát triển thị trường truyền thông xã hội trong công ty tiếp thị
SLS – đã xuất hiện trong báo cáo lạm dụng hàng tháng. Do đó, Charlie đã bắt đầu yêu
cầu nhóm điều hành an ninh chuẩn bị báo cáo này, dựa trên hoạt động kết nối mạng
trong tháng trước. Tất cả nhân viên SLS đã được thông báo và đồng ý với việc giám sát
này bất cứ khi nào họ sử dụng hệ thống mạng của công ty.
• SLS có chính sách khá thoải mái, quy định cách thức và thời điểm nhân viên có thể sử
dụng máy tính và mạng của công ty cho lý do cá nhân của họ. Charlie đã thuyết phục
Giám đốc điều hành Fred Chin và các giám đốc điều hành cấp cao khác rằng nhân viên
nên có cuộc sống hòa nhập vào nơi làm việc, và chi phí phát sinh từ việc sử dụng hệ
thống mạng cho các vấn đề cá nhân là không đáng kể, theo Charlie, mức chi phí trong
giới hạn nhất định hoàn toàn xứng đáng với năng suất được cải thiện của nhân viên khi
họ cảm thấy thoải mái. Tuy nhiên, chính những quy định thoáng này giờ lại là những
"ranh giới nhất định" mà công ty đang giải quyết.
1
02-Feb-23
Tình huống
 Charlie xem lại bản báo cáo và dữ liệu trong đó một lần nữa rồi nhấc điện thoại
gọi cho Gladys Williams – Giám đốc thông tin (CIO) – của công ty. Charlie đã cân
nhắc xem cuộc họp này có nên để Fred tham gia hay không, và anh ấy nghĩ nên
hỏi ý kiến của Gladys, cô ấy có thể quyết định đưa Fred vào nếu cô ấy xác định
rằng sự hiện diện của anh ấy là cần thiết.
 Gladys bắt máy và nói:“Chào, Charlie, có chuyện gì vậy?” Anh ấy trả lời:“Này,
Gladys, chúng tôi gặp vấn đề với báo cáo mới về lạm dụng hàng tháng mà
chúng tôi đang thực hiện.” Gladys biết bản báo cáo, vì cô ấy đã hỗ trợ để tạo ra
nó. Cô ấy biết điều gì sẽ xảy ra tiếp theo vì cô ấy sẽ được thông báo khi các nhân
viên cấp cao có liên quan đến nghi vấn lạm dụng.
Tình huống
 Charlie tiếp tục:“Chà, dù sao thì, có vẻ như chúng ta có vấn đề với Janet Kinneck
ở bộ phận tiếp thị. Gần như tôi có thể biết rõ mà không cần điều tra máy tính
của cô ấy, cô ấy đang điều hành một giải đấu trò chơi thể thao thương mại bên
ngoài văn phòng của mình trên tầng sáu.”
 Gladys suy nghĩ một giây rồi trả lời:“Đối với tôi, đó không phải là một cách sử
dụng chấp nhận được!”.
2
02-Feb-23
Mục tiêu chương

 Mô tả các chức năng quản lý khác nhau liên quan đến an toàn thông tin
 Định nghĩa quản trị an toàn thông tin và liệt kê các kỳ vọng của quản lý cấp
cao của tổ chức đối với nó
 Mô tả vai trò của ban quản lý trong việc phát triển, duy trì và tuân thủ các
chính sách, tiêu chuẩn, thực tiễn, thủ tục và những hướng dẫn về an toàn
thông tin
 Liệt kê các yếu tố của chương trình giáo dục, huấn luyện và nhận thức về an
toàn; mô tả phương pháp triển khai hiệu quả chính sách an toàn trong tổ
chức
 Giải thích bảng kế hoạch chi tiết về an toàn thông tin, xác định các thành
phần chính, và giải thích cách nó hỗ trợ cho chương trình an toàn thông tin
5
Nội dung
1. Lập kế hoạch và quản trị an toàn thông tin
2. Chính sách, tiêu chuẩn, và thực tiễn triển khai an toàn thông tin
3. Chương trình giáo dục, huấn luyện và nhận thức về an toàn
4. Bảng kế hoạch chi tiết về an toàn thông tin
6
3
02-Feb-23
Thuật ngữ
CISO Giám đốc an toàn thông tin
Electronic security perimeter Vành đai an toàn điện tử
Enterprise information security policies (EISP) Chính sách an toàn thông tin doanh nghiệp
Information Security Governance Quản trị an toàn thông tin

Information Security Leadership Phẩm chất lãnh đạo an toàn thông tin
Information Security Program Chương trình an toàn thông tin
Issue-specific security policies (ISSP) Chính sách an toàn đặc thù
Operational plans Kế hoạch hoạt động
Strategic planning Lập kế hoạch chiến lược
Physical security perimeter Vành đai an toàn vật lý
SETA Chương trình giáo dục, huấn luyện, nâng cao nhận thức về an toàn
Strategic plans Kế hoạch chiến lược
7
Thuật ngữ
Tactical objectives Mục tiêu chiến thuật
Tactical plans Kế hoạch chiến thuật
The Information Security Blueprint Bảng kế hoạch chi tiết về an toàn thông tin
8
4
02-Feb-23
Giới thiệu về quản lý an toàn thông tin

• Chương trình an toàn thông tin bắt đầu bằng các chính sách, tiêu chuẩn và thực
hành làm nền tảng cho chương trình và bảng kế hoạch chi tiết về an toàn thông tin.
Điều này sẽ yêu cầu lập kế hoạch phối hợp.
• Vai trò chủ yếu của bộ phận CNTT là đảm bảo quá trình xử lý thông tin hữu hiệu và
hiệu quả. Trong khi, vai trò chính của bộ phận an toàn thông tin là đảm bảo tính bảo
mật, tính toàn vẹn và tính khả dụng của thông tin.
• Những chức năng quản lý chuyên biệt của quản lý an toàn thông tin được gói gọn
trong “sáu chữ P”: Planning (lập kế hoạch), Policy (chính sách), Programs (chương
trình), Protection (bảo vệ), People (con người), và Project management (quản lý dự
án).
Nội dung
10
10
5
02-Feb-23

1.1 Hoạt động lãnh đạo an toàn thông tin
1.2 Kết quả quản trị an toàn thông tin
1.3 Các cấp độ kế hoạch
1.4 Lập kế hoạch và giám đốc an toàn thông tin (CISO)
11
11
1.1. Hoạt động lãnh đạo an toàn thông tin
 Hoạt động lãnh đạo an toàn thông tin có thể sử dụng cách tiếp cận GRC:
quản trị (Governance), quản lý rủi ro (Risk management) và tuân thủ
(Compliance) để phát triển các kế hoạch chiến lược (strategic planning)
và thực hiện trách nhiệm quản lý một cách tốt nhất.
12
12
6
02-Feb-23

 Các mục tiêu của an toàn thông tin phải được giải quyết ở cấp cao nhất
trong đội ngũ quản lý của tổ chức để đạt hiệu quả và có cách tiếp cận bền
vững.
 Trong các tổ chức có hội đồng quản trị chính thức, các hội đồng nên là cơ sở
để xem xét và giám sát quản trị. Quản trị an toàn thông tin là việc áp dụng
các nguyên tắc và thông lệ quản trị doanh nghiệp vào chức năng an toàn
thông tin, nhấn mạnh trách nhiệm của ban giám đốc và/hoặc quản lý cấp
cao đối với việc giám sát an toàn thông tin trong tổ chức.
13
13

 ISO 27014:2013: là bộ tiêu chuẩn ISO 27000 về Quản trị an toàn thông tin,
cung cấp gợi ý đánh giá về chương trình quản trị an toàn thông tin, gồm
sáu nguyên tắc quản trị an toàn thông tin "định hướng hành động" cấp
cao:
 Thiết lập an toàn thông tin toàn tổ chức
 Áp dụng cách tiếp cận dựa trên rủi ro
 Định hướng các quyết định đầu tư
 Đảm bảo sự phù hợp với các yêu cầu bên trong và bên ngoài
 Thúc đẩy một môi trường an toàn tích cực
 Xem xét hiệu suất liên quan đến kết quả kinh doanh.
14
14
7
02-Feb-23

 Bộ tiêu chuẩn ISO 27014:2013 về Quản trị an toàn thông tin thúc đẩy hình thành
5 quá trình quản trị như sau:
15
15

 Các chức năng quản trị an toàn thông tin trong một tổ chức: Trách nhiệm của
các cá nhân khác nhau trong tổ chức đối với việc quản trị an toàn thông tin
16
16
8
02-Feb-23

 Quản trị bao gồm toàn bộ chức năng kiểm soát hoặc quản lý các quá trình
được sử dụng bởi một nhóm người để hoàn thành một số mục tiêu, thể
hiện chức năng kiểm soát chiến lược của ban lãnh đạo cấp cao, được thiết
kế để đảm bảo đưa ra các quyết định chiến lược thận trọng và có hiểu biết
vì lợi ích tốt nhất của tổ chức
 Các yếu tố hỗ trợ quản trị doanh nghiệp: các văn bản hướng dẫn - điều lệ
công ty; các quy trình lập kế hoạch, điều hành và bổ nhiệm nhân sự; các
thủ tục, quy trình, ủy ban và thực hành kiểm soát
17
17

 Quản trị an toàn thông tin áp dụng nguyên tắc: ban lãnh đạo của nhóm an toàn
thông tin giám sát và quản lý tất cả các cơ cấu tổ chức và quy trình nhằm đảm
bảo cho chức năng an toàn thông tin
 Theo Viện Quản trị Công nghệ Thông tin (ITGI), quản trị an toàn thông tin bao
gồm tất cả các trách nhiệm giải trình và các phương pháp do hội đồng quản trị
và ban quản lý điều hành đảm nhận để cung cấp:
 Định hướng chiến lược
 Thiết lập các mục tiêu
 Đo lường sự tiến bộ đối với các mục tiêu đó
 Xác minh rằng các thực hành quản lý rủi ro là phù hợp
 Xác nhận rằng tài sản của tổ chức được sử dụng đúng cách
18
18
9
02-Feb-23
1.2. Kết quả quản trị an toàn thông tin

Quản trị an toàn thông tin hướng đến việc đạt được 5 mục tiêu sau:
 Liên kết chiến lược an toàn thông tin với chiến lược kinh doanh để hỗ trợ các
mục tiêu của tổ chức.
 Quản lý rủi ro bằng cách thực hiện các biện pháp phù hợp để quản lý và giảm
thiểu các nguy cơ đối với nguồn lực thông tin.
 Quản lý nguồn lực bằng cách sử dụng kiến thức và cơ sở hạ tầng an toàn
thông tin hữu hiệu và hiệu quả.
 Đo lường thành quả bằng cách đo lường, giám sát và báo cáo các chỉ số quản
trị an toàn thông tin để đảm bảo tổ chức đạt mục tiêu
 Đem lại giá trị bằng cách tối ưu hóa các khoản đầu tư an toàn thông tin góp
phần giúp tổ chức đạt mục tiêu.
19
19
1.3. Các cấp độ lập kế hoạch

 Nhóm điều hành (CEO, COO, CFO, CIO, …) triển khai kế hoạch chiến lược
(strategic plans) cho mỗi cấp của mỗi bộ phận chức năng thành các mục tiêu
chiến thuật (tactical objectives) có các thuộc tính:
 Có mục tiêu cụ thể
 Có thể đạt được
 Có giới hạn thời hạn
 Có thể đo lường được
Tạo ra các kế hoạch chiến thuật (tactical plans)
 Các kế hoạch chiến thuật tiếp tục được sử dụng để phát triển thành các kế
hoạch hoạt động (operational plans) theo phương thức quy định trách nhiệm
cho từng cá nhân phụ trách
20
20
10
02-Feb-23

 Kế hoạch chiến thuật (tactical planning) tập trung vào các chủ trương ngắn
hạn sẽ hoàn thành trong vòng 1 hoặc 2 năm; bao gồm kế hoạch dự án và tài
liệu lập kế hoạch mua sắm nguồn lực; cần được lập ngân sách, phân bổ nguồn
lực và nhân sự khi tiến hành. Quá trình lập kế hoạch chiến thuật chia nhỏ mỗi
mục tiêu chiến lược thành các mục tiêu liên tục (incremental objectives). Mỗi
mục tiêu này phải cụ thể, có thời hạn trong vòng một năm kể từ ngày bắt đầu
kế hoạch. Giám đốc an toàn thông tin (CISO) và các nhà quản lý an toàn sử
dụng kế hoạch chiến thuật để tổ chức, sắp xếp thứ tự ưu tiên và thu thập các
nguồn lực cần thiết hỗ trợ cho việc lập kế hoạch chiến lược (strategic plans)
21
21

• Bắt nguồn từ kế hoạch chiến thuật, kế hoạch hoạt động (operational planning)
được tạo ra cho các nhà quản lý và nhân viên sử dụng để đơn vị thực hiện nhiệm vụ
tác nghiệp hàng ngày. Một kế hoạch hoạt động bao gồm các nhiệm vụ cần thiết cho
tất cả các bộ phận liên quan cũng như các yêu cầu liên lạc và báo cáo, các cuộc họp
hàng tuần, báo cáo tiến độ và các nhiệm vụ liên quan khác. Thông tin liên lạc và
phản hồi thường xuyên từ các nhóm tới các nhà quản lý dự án, trưởng nhóm, các
cấp quản lý khác, … sẽ giúp quá trình lập kế hoạch quản lý dễ dàng hơn và thành
công hơn
22
22
11
02-Feb-23
23
23

• Ưu tiên đầu tiên của CISO và nhóm quản lý an toàn thông tin là việc tạo ra một kế hoạch
chiến lược (strategic plan) để hoàn thành các mục tiêu an toàn thông tin của tổ chức. Khi
một chiến lược được định hướng rõ ràng từ trên xuống, cần phải có một cách tiếp cận
có hệ thống để biến nó thành một chương trình có thể thông báo và dẫn dắt tất cả các
thành viên của tổ chức
• Các kế hoạch chiến lược được hình thành ở các cấp cao nhất của tổ chức được sử dụng
để tạo ra một chiến lược tổng thể của công ty (overall corporate strategy). Khi các cấp
thấp hơn tham gia, các kế hoạch từ các cấp cao hơn được phát triển thành kế hoạch chi
tiết hơn, cụ thể hơn. Kế hoạch chiến lược theo chức năng (chẳng hạn như chiến lược tài
chính, CNTT và hoạt động) được chuyển thành kế hoạch chiến thuật (tactical planning)
cho các nhà quản lý giám sát và cuối cùng cung cấp định hướng cho các kế hoạch hoạt
động (operational plans) do các nhân viên cấp tác nghiệp thực hiện
24
12
02-Feb-23

 Phương pháp tiếp cận nhiều lớp này bao gồm hai nội dung chính: chiến lược tổng
quát (general strategy) và lập kế hoạch chiến lược (strategic planning). Chiến lược
tổng quát được chuyển thành chiến lược cụ thể; lập kế hoạch chiến lược được
chuyển thành kế hoạch chiến thuật và kế hoạch hoạt động (tactical and operational
planning) cấp thấp hơn
25
Nội dung
26
26
13
02-Feb-23
2. Chính sách, tiêu chuẩn, và thực tiễn triển khai ATTT
2.1 Chính sách làm nền tảng cho việc lập kế hoạch
2.2 Phát triển và triển khai chính sách an toàn hữu hiệu
2.3 Quản lý chính sách
27
27

Giới thiệu
 Ban quản lý cần xây dựng các chính sách làm cơ sở cho tất cả các kế hoạch,
thiết kế và triển khai an toàn thông tin. Các chính sách cần:
 Hướng dẫn cách giải quyết các vấn đề và cách sử dụng công nghệ
 Không mô tả cách vận hành thích hợp của thiết bị hoặc phần mềm (thông tin
này sẽ được đặt trong các tiêu chuẩn, thủ tục và thực hành trong tài liệu hướng
dẫn sử dụng và hệ thống của người dùng)
 Không được mâu thuẫn với luật pháp,
 Được quản lý thích hợp thông qua truyền thông và chấp nhận bằng văn bản.
28
28
14
02-Feb-23

Giới thiệu
 Các chính sách an toàn là biện pháp kiểm soát ít tốn kém nhất để thực thi an
toàn thông tin, việc tạo ra và phổ biến chính sách chỉ đòi hỏi thời gian và nỗ
lực của đội ngũ quản lý. Khi lựa chọn phương án thuê tư vấn bên ngoài để
giúp xây dựng chính sách, chi phí của chính sách an toàn vẫn thấp nhất so
với chi phí các kiểm soát kỹ thuật khác. Tuy nhiên, đây cũng là chính sách
khó thực hiện đúng cách nhất.
29
29
2.1. Chính sách làm nền tảng cho việc lập kế hoạch
 Các chính sách hoạt động giống như luật trong một tổ chức vì:
 Quy định hành vi được chấp nhận và không được chấp nhận
 Quy định các hình phạt đối với việc không tuân thủ chính sách và quy trình
kháng nghị, bao gồm các tiêu chuẩn là những tuyên bố chi tiết hơn về những
gì phải làm để tuân thủ chính sách, có các yêu cầu tuân thủ giống như các
chính sách
 Tiêu chuẩn có thể là một phần của văn hóa tổ chức, hoặc ban hành dạng
không chính thức (de facto standards)
 Tiêu chuẩn có thể được công bố, xem xét kỹ lưỡng, phê chuẩn, và ban
hành dạng chính thức (de jure standards)
30
30
15
02-Feb-23
Các hướng dẫn, thủ tục

và thực hành an toàn
giải thích một cách hiệu
quả cách thức tuân thủ
chính sách.
31
31
 Ví dụ về mối quan hệ giữa Chính sách, Tiêu chuẩn, Thực tiễn
triển khai, Thủ tục, và Hướng dẫn
32
32
16
02-Feb-23
 Chính sách có chức năng như luật tổ chức quy định hành vi chấp nhận
được và không chấp nhận được
 Tiêu chuẩn: tuyên bố chi tiết hơn về những gì phải được thực hiện để tuân
thủ chính sách
 Các thực tiễn triển khai, thủ tục và hướng dẫn giải thích hiệu quả cách tuân
thủ chính sách.
 Để một chính sách có hiệu quả, nó phải được phổ biến, đọc, hiểu và đồng
ý đúng cách bởi tất cả các thành viên của tổ chức và được thi hành thống
nhất.
33
33
Knowledge Check Activity 1

A detailed statement of what must be done to comply with policy, sometimes viewed
as the rules governing policy compliance, is known as a(n) _____.
a. guideline
b. standard
c. practice
d. procedure
34
17
02-Feb-23
Knowledge Check Activity 1: Answer

A detailed statement of what must be done to comply with policy, sometimes viewed
as the rules governing policy compliance, is known as a(n) _____.
Answer: b. standard
Standards are more detailed statements of what must be done to comply with policy.
Standards may be informal or part of an organizational culture or standards may be
published. Practices, procedures, and guidelines effectively explain how to comply with
policy.
35
 Ý nghĩa của thuật ngữ chính sách an toàn phụ thuộc vào ngữ cảnh. Nói chung,
chính sách an toàn là một tập hợp các quy tắc bảo vệ tài sản của tổ chức, cung
cấp các quy tắc để bảo vệ tài sản thông tin của tổ chức
 Nhà quản lý phải xác định ba loại chính sách an toàn, theo Special Publication
(SP) 800-14 của Viện Tiêu chuẩn và Công nghệ Quốc gia (NIST):
 Chính sách an toàn thông tin doanh nghiệp (Enterprise information security policies
– EISP)
 Chính sách an toàn đặc thù (Issue-specific security policies – ISSP)
 Chính sách an toàn dành riêng cho hệ thống (Systems-specific security policies –
SysSP)
36
36
18
02-Feb-23
2.1.1. Chính sách ATTT doanh nghiệp (EISP)

 EISP được điều chỉnh khi có sự thay đổi trong định hướng chiến lược của tổ
chức
 EISP xác định mục đích, phạm vi, các ràng buộc và khả năng áp dụng của
chương trình an ninh
 EISP phân công trách nhiệm đối với các lĩnh vực an toàn khác nhau, bao gồm
quản trị hệ thống, duy trì các chính sách an toàn thông tin, thực hành và trách
nhiệm của người dùng
 EISP giải quyết vấn đề tuân thủ pháp luật
37
37

 Theo NIST, EISP thường giải quyết vấn đề tuân thủ trong hai khía cạnh:
 Đảm bảo rằng một tổ chức đáp ứng các yêu cầu để thiết lập một chương trình và
phân công trách nhiệm cho các thành phần khác nhau của tổ chức
 Sử dụng các hình phạt cụ thể và hành động kỷ luật
 Khi EISP đã được phát triển, CISO bắt đầu thành lập nhóm an toàn và thực
hiện các thay đổi cần thiết đối với chương trình an toàn thông tin
38
38
19
02-Feb-23

 Thành phần của EISP bao gồm:
 Tổng quan triết lý của tổ chức về an toàn
 Thông tin về cơ cấu tổ chức và những người thực hiện vai trò an toàn thông tin
 Các trách nhiệm rõ ràng, đầy đủ về an toàn và được chia sẻ bởi tất cả các thành
viên của tổ chức (nhân viên, nhà thầu, nhà tư vấn, đối tác và khách hàng)
 Các trách nhiệm rõ ràng, đầy đủ về an toàn cần dành riêng cho từng vai trò trong
tổ chức
39
39
2.1.2. Chính sách an toàn đặc thù (ISSP)

 ISSP đề cập đến quan điểm của tổ chức về các lĩnh vực công nghệ, được cập nhật thường
xuyên về các nội dung:
 E-mail
 Sử dụng Internet và World Wide Web
 Cấu hình máy tính tối thiểu để chống lại sâu và vi rút
 Các lệnh cấm đối với việc hack / kiểm tra các biện pháp kiểm soát an toàn của tổ chức
 Sử dụng các thiết bị máy tính của tổ chức tại nhà
 Sử dụng thiết bị cá nhân kết nối hệ thống mạng công ty
 Sử dụng các công nghệ viễn thông, chẳng hạn như fax và điện thoại
 Sử dụng thiết bị photocopy
 Sử dụng các thiết bị lưu trữ di động như thẻ nhớ USB, máy chơi game, máy nghe nhạc và bất
kỳ thiết bị nào khác có khả năng lưu trữ các tệp kỹ thuật số
 Sử dụng các dịch vụ lưu trữ dựa trên đám mây không do tổ chức tự lưu trữ hoặc được ký kết
theo hợp đồng (Google Drive, Dropbox, Microsoft Live, …)
40
40
20
02-Feb-23
2.1.2. Chính sách an toàn đặc thù (ISSP)

 Các thành phần của ISSP:
 Tuyên bố về chính sách
 Quyền truy cập và sử dụng thiết bị
 Cấm sử dụng thiết bị sai mục đích
 Quản lý hệ thống
 Vi phạm chính sách
 Rà soát và sửa đổi chính sách
 Giới hạn của trách nhiệm pháp lý
41
41
2.1.3. Chính sách an toàn dành riêng cho hệ

thống – SysSP (đọc thêm)
 SysSP thường hoạt động như các tiêu chuẩn hoặc thủ tục được sử dụng khi
cấu hình hoặc bảo trì hệ thống. Ví dụ, một SysSP có thể mô tả cấu hình và
hoạt động của tường lửa mạng. Tài liệu này có thể bao gồm một tuyên bố về ý
định của người quản lý; hướng dẫn cho các kỹ sư mạng về việc lựa chọn, cấu
hình và vận hành tường lửa; và danh sách kiểm soát truy cập xác định các cấp
độ truy cập cho từng người dùng được ủy quyền
 SysSPs bao gồm 2 nhóm: nhóm hướng dẫn về quản lý, và nhóm quản lý về kỹ
thuật
42
42
21
02-Feb-23
2.2. Phát triển và triển khai chính sách an toàn

hữu hiệu
 Để đảm bảo tính hiệu quả và được bảo vệ về mặt pháp lý, các chính sách cần
thực hiện đúng cách theo các tiêu chí sau:
 Phát triển (Development): Phải được viết bằng cách sử dụng các thông lệ được
chấp nhận trong ngành và được ban quản lý chính thức phê duyệt
 Truyền đạt (Dissemination): Phải được truyền thông bằng tất cả các phương pháp
thích hợp
 Dễ sử dụng (Reading): Phải được tất cả nhân viên chấp nhận
 Dễ hiểu (Comprehension): Phải được hiểu bởi tất cả nhân viên
 Tuân thủ (Compliance): Phải được chính thức đồng ý bằng hành động hoặc khẳng
định, cam kết
 Thực thi thống nhất (Enforcement): Phải được áp dụng thống nhất cho tất cả nhân
viên.
43
43
2.3. Quản lý chính sách

 Chính sách cần được truyền đạt, đọc hiểu, xác nhận đồng ý, áp dụng và quản
lý một cách thống nhất
 Để duy trì tính khả thi, các chính sách an toàn cần có:
 Quản trị viên chính sách: không nhất thiết phải thành thạo công nghệ liên quan,
có trách nhiệm thông báo cho tất cả các thành viên chịu tác động của tổ chức khi
chính sách được sửa đổi, là đầu mối liên hệ chính thức khi nhân viên cần biết thêm
thông tin hoặc đề xuất sửa đổi chính sách
 Lịch trình đánh giá: Một lịch trình đánh giá được tổ chức hợp lý cần được xác định,
công bố, và nên được xem xét lại tối thiểu hàng năm để đảm bảo chính sách vẫn
là một biện pháp kiểm soát hiệu quả. Các chính sách không được duy trì, cập nhật
theo hiện hành có thể trở thành trách nhiệm pháp lý do các quy tắc lỗi thời được
thực thi và các yêu cầu mới bị bỏ qua.
44
44
22
02-Feb-23
2.3. Quản lý chính sách

 Để duy trì tính khả thi, các chính sách an toàn cần có:
 Xem xét, đánh giá lại quy trình và thủ tục : Để tạo điều kiện thuận lợi cho việc rà
soát chính sách, cần tạo cơ chế qua đó mọi người có thể thoải mái đưa ra các đề
xuất sửa đổi (qua e-mail, thư văn phòng hoặc ẩn danh). Nếu chính sách này gây
tranh cãi, việc gửi các khuyến nghị ẩn danh có thể là cách tốt nhất để khuyến
khích ý kiến của nhân viên. Khi chính sách đã được đưa ra để xem xét, tất cả các ý
kiến cần được kiểm tra và việc thực hiện các cải tiến cần được cấp quản lý phê
duyệt
 Ngày ban hành và ngày sửa đổi chính sách: Chính sách cần có ngày công bố và
(các) ngày của (các) bản cập nhật tiếp theo. Nếu không phải là chính sách áp dụng
vĩnh viễn, cần có điều khoản ngừng hoạt động cho biết ngày hết hạn của chính
sách đó
 Quản lý chính sách tự động (đọc thêm) 45
45
Nội dung
46
46
23
02-Feb-23
3. Chương trình giáo dục, huấn luyện và nhận thức

về an toàn (SETA)
3.1 Giáo dục an toàn
3.2 Huấn luyện an toàn
3.3 Nhận thức về an toàn
47
47

về an toàn
Giới thiệu
• Khi tổ chức đã xác định các chính sách hướng dẫn chương trình an toàn và chọn
mô hình an toàn tổng thể bằng cách tạo / điều chỉnh bảng kế hoạch chi tiết
tương ứng  triển khai chương trình giáo dục, huấn luyện và nâng cao nhận thức
về an toàn (security education, training, and awareness - SETA). SETA do CISO phụ
trách và là một biện pháp kiểm soát được thiết kế để giảm các sự cố do nhân viên
vô tình vi phạm an ninh. Lỗi của nhân viên là một trong những mối đe dọa hàng
đầu đối với tài sản thông tin, do đó, phát triển chương trình SETA để chống lại
mối đe dọa này là cần thiết. SETA được thiết kế để bổ sung cho các chương trình
giáo dục và huấn luyện chung mà nhiều tổ chức sử dụng để huấn luyện nhân
viên về an toàn thông tin
48
48
24
02-Feb-23

về an toàn
Giới thiệu
 Chương trình SETA bao gồm ba yếu tố: giáo dục an toàn, huấn luyện an toàn và
nâng cao nhận thức về an toàn. Một tổ chức có thể không có khả năng hoặc
sẵn sàng đảm nhận cả ba yếu tố này và nó có thể dung dịch vụ thuê ngoài
(outsource) như các cơ sở giáo dục địa phương. Mục đích của SETA là tăng
cường an toàn bằng cách thực hiện những điều sau:
 Nâng cao nhận thức về sự cần thiết phải bảo vệ tài nguyên hệ thống
 Phát triển kỹ năng và kiến thức để người dùng máy tính có thể thực hiện công việc
của họ một cách an toàn hơn
 Xây dựng kiến thức chuyên sâu khi cần thiết để thiết kế, triển khai hoặc vận hành
các chương trình an toàn cho các tổ chức và hệ thống
49
49

về an toàn
Giới thiệu
Awareness Training Education

Attribute Seeks to teach members of Seeks to train members of the Seeks to educate members of the
the organization what security organization how they should organization as to why it has
is and what the employee react and respond when threats prepared in the way it has and why
should do in some situations are encountered in specified the organization reacts in the ways
situations it does
Level Offers basic information Offers more detailed knowledge Offers the background and depth
about threats and responses about detecting threats and of knowledge to gain insight into
teaches skills needed for how processes are developed and
effective reaction enables ongoing
Improvement
50
50
25
02-Feb-23

về an toàn
Giới thiệu
Awareness Training Education
Objective Members of the organization Members of the organization can Members of the organization can
can recognize threats and mount effective responses using engage in active defense and use
formulate simple responses learned skills understanding of the organization's
objectives to make continuous
improvement
Teaching • Media videos • Formal training • Theoretical instruction
methods • Newsletters • Workshops • Discussions/seminars
• Posters • Hands-on practice • Background reading
• Informal training
Assessment True/false or multiple choice Problem solving (apply learning) Essay (interpret learning)
(identify learning)
Impact time Short-term Intermediate Long-term
frame
51
51
3.1. Giáo dục an toàn

 Mọi người trong tổ chức cần được huấn luyện và nâng cao nhận thức về an toàn thông
tin, nhưng không phải ai cũng cần có bằng cấp hoặc chứng chỉ chính thức về an toàn
thông tin
 Khi ban giám đốc đồng ý rằng áp dụng giáo dục chính thức là phù hợp, nhân viên có thể
tìm hiểu các khóa học về giáo dục thường xuyên từ các cơ sở giáo dục đại học tại địa
phương. Các trường đại học trên thế giới đã có các khóa học chính thức về an toàn thông
tin (Bộ môn Hệ thống thông tin kế toán-Khoa Kế toán-UEH tiên phong giảng dạy ở Việt
Nam).
52
52
26
02-Feb-23
3.1. Giáo dục an toàn

 Đối với những người quan tâm đến việc nghiên cứu các chương trình an toàn thông tin
chính thức, có các tài nguyên hạn như chương trình National Centers of Academic
Excellence (xem www.iad.gov/NIETP/index.cfm). Chương trình này xác định các trường đại
học cung cấp các môn học về an toàn thông tin và quan điểm tích hợp về an toàn thông
tin trong tổ chức. Các tài nguyên địa phương khác cũng có thể cung cấp thông tin về
giáo dục an toàn, chẳng hạn như Trung tâm Giáo dục An ninh Thông tin của Bang
Kennesaw (http://infosec.kennesaw.edu)
53
53
3.2. Huấn luyện an toàn

 Huấn luyện an toàn cung cấp cho nhân viên thông tin chi tiết và hướng dẫn thực
hành để chuẩn bị cho họ thực hiện nhiệm vụ một cách an toàn. Quản lý an toàn
thông tin có thể phát triển huấn luyện nội bộ hoặc thuê dịch vụ huấn luyện
 Các lựa chọn thay thế cho các chương trình huấn luyện chính thức là các hội
nghị và chương trình huấn luyện trong ngành được cung cấp thông qua các cơ
quan chuyên môn như SANS (www.sans.org), ISC2 (www.isc2.org) và ISSA
(www.issa.org). Nhiều chương trình trong số này phù hợp với các chuyên gia an
toàn thông tin hơn so với người dung bình thường vì khá thiên về khía cạnh kỹ
thuật
54
54
27
02-Feb-23
3.2. Huấn luyện an toàn

 Một số tài nguyên để thực hiện các chương trình SETA cung cấp hỗ trợ dưới
dạng các chủ đề và cấu trúc mẫu cho các lớp bảo mật. Đối với các tổ chức,
Trung tâm Tài nguyên An ninh Máy tính tại NIST cung cấp miễn phí một số tài
liệu hữu ích trong lĩnh vực này (http://csrc.nist.gov)
55
55
3.3. Nhận thức về an toàn

 Chương trình nâng cao nhận thức về an toàn là một trong những chương trình
ít được thực hiện thường xuyên nhất nhưng mang lại nhiều lợi ích nhất trong
một tổ chức, được thiết kế để giữ an toàn thông tin được đặt lên hàng đầu
trong tâm trí người dùng. Nếu chương trình này không được triển khai tích
cực, nhân viên có thể bắt đầu bỏ qua các vấn đề an toàn và nguy cơ có thể
phát sinh với an toàn thông tin của tổ chức
56
56
28
02-Feb-23
3.3. Nhận thức về an toàn

 Các chương trình nâng cao nhận thức không cần phải phức tạp hoặc tốn kém
chi phí (bản tin, áp phích tuyên truyền an toàn thông tin, video, bảng thông
báo, tờ rơi, khẩu hiệu an ninh in trên miếng lót chuột, cốc cà phê, áo phông, bút
hoặc bất kỳ đồ vật nào thường xuyên được sử dụng trong ngày làm việc để
nhắc nhở nhân viên về an toàn)
 Bản tin an toàn là phương pháp tiết kiệm chi phí nhất để phổ biến thông tin cho
nhân viên, được phân phối qua bản cứng, e-mail hoặc mạng nội bộ. Các chủ đề
bao gồm: các mối đe dọa mới đối với tài sản thông tin của tổ chức, lịch trình
cho các lớp bảo mật sắp tới và việc bổ sung nhân viên an toàn mới. Mục đích là
giữ ý tưởng về an toàn thông tin trong tâm trí người dùng và kích thích người
dùng quan tâm đến an toàn
57
57

The process that seeks to teach members of the organization what security is and what
the employee should do in some situations is known as security _____.
a. education
b. training
c. awareness
d. alertness
58
29
02-Feb-23

The process that seeks to teach members of the organization what security is and what
the employee should do in some situations is known as security _____.
Answer: c. awareness
Training is how an organization prepares members on how they should react and
respond when threats are encountered in specified situations. Education seeks to
provide theoretical foundations to members of the organization as to why it has
prepared in the way it has and why the organization reacts in the ways it does.
Alertness is not an element covered in this module.
59
4. Bảng kế hoạch chi tiết, mô hình, và khuôn mẫu về an

toàn thông tin
4.1 Giới thiệu
4.2 Thiết kế kiến trúc an toàn
4.2.1 Lĩnh vực kiểm soát (Spheres of Security)
4.2.2 Cấp độ kiểm soát (Levels of Controls)
4.2.3 Phòng thủ sâu (Defense in Depth)
4.2.4 Vành đai an toàn (Security Perimeter)
60
60
30
02-Feb-23
4.1. Giới thiệu

 Sau khi đã phát triển các chính sách và tiêu chuẩn an toàn thông tin, tổ chức bắt
đầu phát triển bảng kế hoạch chi tiết (blueprint) cho chương trình an toàn thông
tin.
 Bảng kế hoạch chi tiết là kế hoạch và cơ sở để thiết kế, lựa chọn và triển khai tất
cả các thành phần của chương trình an toàn, bao gồm các chính sách, các
chương trình quản lý rủi ro, các chương trình huấn luyện vào đào tạo, ….
 Bảng kế hoạch chi tiết là việc triển khai chi tiết khuôn mẫu (framework) an toàn
thông tin. Nó xác định các nhiệm vụ và thứ tự hoàn thành chúng, giống như bản
vẽ thiết kế cho việc xây dựng một tòa nhà.
 Khuôn mẫu an toàn là nền tảng về mặt lý luận cho việc thiết kế bảng kế hoạch
chi tiết, cũng giống như phong cách hoặc phương pháp luận mà một kiến trúc
sư được đào tạo hoặc sử dụng trong thiết kế.
61
61
4.1. Giới thiệu

 Khi chọn cách thức để phát triển một bảng kế hoạch chi tiết an toàn thông tin,
tổ chức nên điều chỉnh hoặc áp dụng một mô hình (model) an toàn thông tin
được công nhận rộng rãi bởi một tổ chức hoặc cơ quan an toàn đã thành lập.
Các mô hình của các khuôn mẫu chuẩn mực này có thể giúp phác thảo các bước
thiết kế và thực hiện an toàn thông tin trong tổ chức. Nhóm an toàn lưu ý cần
sửa đổi hoặc điều chỉnh mô hình cho phù hợp với đặc thù của tổ chức trước khi
áp dụng
 Khi một khuôn mẫu an toàn thông tin được công nhận rộng rãi, nó được gọi là
mô hình an toàn thông tin. Do vậy, khuôn mẫu và mô hình đôi khi được sử dụng
thay thế cho nhau.
 Danh sách các mô hình an toàn: The ISO 27000 Series, mô hình an toàn NIST SP
800-14, NIST và khuôn mẫu quản trị rủi ro
62
62
31
02-Feb-23
4.1. Giới thiệu

 Mô hình an toàn NIST SP 800-14
 Các nguyên tắc thực hành được chấp nhận về an toàn hệ thống công nghệ thông tin
(SP 800-14) hỗ trợ đơn vị phát triển bảng kế hoạch chi tiết về an toàn thông tin,
thông qua cung cấp các nguyên tắc thực hành về an toàn:
o An toàn hỗ trợ sứ mệnh của tổ chức
o An toàn là một yếu tố không thể thiếu của quản lý hữu hiệu
o An toàn cần hiệu quả về mặt chi phí
o Chủ sở hữu hệ thống có trách nhiệm bảo mật thông tin của các bên liên quan
o Trách nhiệm bảo mật và trách nhiệm giải trình phải được thực hiện rõ ràng
o An toàn yêu cầu một phương pháp toàn diện và tích hợp
o An toàn nên được đánh giá lại định kỳ
o An toàn bị hạn chế bởi các yếu tố xã hội
63
63
4.1 Giới thiệu

• Mô hình an toàn NIST SP 800-14
• 33 nguyên tắc của NIST SP 800-14 (đọc thêm)
64
32
02-Feb-23
4.1 Giới thiệu

• Mô hình an toàn NIST SP 800-14
• 33 nguyên tắc của NIST SP 800-14 (đọc thêm)
65
4.1 Giới thiệu

• NIST và khuôn mẫu quản trị rủi ro
• Khuôn mẫu quản lý rủi ro (RMF) trình bày cách tiếp cận của NIST để quản lý rủi
ro trong đơn vị:
• Xây dựng khả năng an toàn thông tin vào các hệ thống thông tin liên thông qua việc
áp dụng các biện pháp kiểm soát an ninh kỹ thuật, hoạt động và quản lý hiện đại
• Duy trì nhận thức về trạng thái an toàn của hệ thống thông tin thường xuyên thông
qua các quy trình giám sát nâng cao
• Cung cấp thông tin cần thiết để giúp nhà quản lý cấp cao đưa ra quyết định về việc
chấp nhận rủi ro đối với hoạt động và tài sản của đơn vị, cá nhân và các đơn vị khác
phát sinh từ việc sử dụng hệ thống thông tin
66
33
02-Feb-23
4.1 Giới thiệu

• NIST và khuôn mẫu quản trị rủi ro
• RMF có các đặc điểm sau:
• Thúc đẩy khái niệm quản lý rủi ro theo thời gian thực và phân quyền hệ thống thông tin liên
tục thông qua việc triển khai giám sát liên tục mạnh mẽ
• Khuyến khích sử dụng tự động hóa để cung cấp cho các nhà quản lý cấp cao thông tin cần
thiết nhằm đưa ra các quyết định dựa trên rủi ro, hiệu quả về chi phí về hệ thống thông tin,
từ đó hỗ trợ các sứ mệnh cốt lõi và các chức năng kinh doanh của đơn vị
• Tích hợp an toàn thông tin vào kiến trúc doanh nghiệp và chu kỳ phát triển hệ thống
• Nhấn mạnh việc lựa chọn, thực hiện, đánh giá và giám sát các biện pháp kiểm soát an ninh và
phân quyền hệ thống thông tin
• Liên kết các quy trình quản lý rủi ro ở cấp hệ thống thông tin với các quy trình quản lý rủi ro
ở cấp đơn vị thông qua chức năng điều hành rủi ro
• Thiết lập trách nhiệm và trách nhiệm giải trình đối với các biện pháp kiểm soát an ninh được
triển khai trong hệ thống thông tin của đơn vị và được kế thừa bởi các hệ thống đó (VD: các
kiểm soát phổ biến)
67
4.2. Thiết kế kiến trúc an toàn

4.2.1 Lĩnh vực kiểm soát (Spheres of Security)
4.2.2 Cấp độ kiểm soát (Levels of Controls)
4.2.3 Phòng thủ sâu (Defense in Depth)
4.2.4 Vành đai an toàn (Security Perimeter)
68
34
02-Feb-23
4.2.1. Lĩnh vực an toàn
69
69

 Lĩnh vực bảo mật, được thể hiện trong Hình 3-10, là nền tảng của khuôn mẫu an
toàn, minh họa cách thức thông tin bị tấn công từ nhiều nguồn khác nhau. Phạm
vi bên trái của Hình 3-10 minh họa các cách người dùng truy cập thông tin. Ví dụ,
mọi người đọc bản cứng của tài liệu và truy cập thông tin thông qua hệ thống.
Thông tin, là tài sản quan trọng nhất trong mô hình này, nằm ở trung tâm của
khối cầu. Thông tin luôn có nguy cơ bị tấn công bất cứ khi nào con người hoặc hệ
thống máy tính có thể truy cập được. Mạng và Internet là những mối đe dọa gián
tiếp, ví dụ như thực tế là một người cố gắng truy cập thông tin từ Internet phải đi
qua các mạng cục bộ.
70
70
35
02-Feb-23
 Hình 3-10 minh họa giữa mỗi lớp của lĩnh vực bảo mật sử dụng phải tồn tại một
lớp bảo vệ. Ví dụ: “chính sách và luật pháp”, “giáo dục và huấn luyện” là những
biện pháp bảo vệ được đặt giữa con người và thông tin. Việc kiểm soát cũng
được thực hiện giữa các hệ thống và thông tin, giữa mạng và hệ thống máy tính,
và giữa Internet và mạng nội bộ. Điều này củng cố khái niệm phòng thủ sâu. Có
thể sử dụng nhiều cách kiểm soát để bảo vệ thông tin. Do mọi người có thể truy
cập trực tiếp vào từng vòng cũng như vào thông tin ở vị trí cốt lõi của mô hình,
nên khối bảo vệ cần tập trung cố gắng kiểm soát truy cập bằng cách dựa vào con
người so với dựa vào công nghệ. Các thành viên của tổ chức phải trở thành một
lực lượng bảo vệ được đào tạo, thực hiện và duy trì hiệu quả, nếu không họ cũng
sẽ gây ra mối đe dọa đối với thông tin.
71
71

 An toàn thông tin được thiết kế và thực hiện theo ba lớp: chính sách (P), con
người (P: giáo dục, huấn luyện và các chương trình nâng cao nhận thức) và công
nghệ (T). Các lớp này thường được gọi là PPT. Mỗi lớp chứa các biện pháp kiểm
soát và biện pháp bảo vệ để bảo vệ thông tin và tài sản hệ thống thông tin mà tổ
chức xem trọng. Tuy nhiên, trước khi có thể thực hiện bất kỳ biện pháp kiểm soát
kỹ thuật hoặc các biện pháp bảo vệ nào khác, các chính sách xác định triết lý
quản lý đằng sau quy trình an toàn cần được áp dụng.
72
72
36
02-Feb-23
4.2.2 Cấp độ kiểm soát

 Các biện pháp bảo vệ an toàn thông tin cung cấp ba cấp độ kiểm soát:
 Kiểm soát quản lý (Management controls): thiết lập hướng và phạm vi của các quy trình
an toàn và cung cấp hướng dẫn chi tiết cho hành vi, tiến hành thiết kế và thực hiện quy
trình lập kế hoạch an toàn và quản lý chương trình an toàn, giải quyết các đánh giá về
quản lý rủi ro và kiểm soát an ninh, mô tả sự cần thiết và phạm vi tuân thủ pháp luật, và
đặt ra các hướng dẫn để duy trì toàn bộ chu kỳ an toàn
 Kiểm soát hoạt động (Operational controls): giải quyết vấn đề an toàn nhân sự, an toàn
vật lý, bảo vệ đầu vào và đầu ra của hệ thống, hướng dẫn việc phát triển các chương trình
giáo dục, huấn luyện và nâng cao nhận thức cho người dùng, quản trị viên và ban quản
lý, giải quyết vấn đề bảo trì hệ thống phần cứng và phần mềm cũng như tính toàn vẹn
của dữ liệu
 Kiểm soát kỹ thuật (Technical controls): là việc triển khai chiến thuật và kỹ thuật liên quan
đến thiết kế và tích hợp an toàn trong tổ chức. Trong khi các kiểm soát hoạt động giải
quyết các vấn đề vận hành cụ thể, chẳng hạn như phát triển và tích hợp các kiểm soát
vào các chức năng kinh doanh, kiểm soát kỹ thuật bao gồm các kiểm soát truy cập lôgic,
chẳng hạn như nhận dạng, xác thực, phân quyền, trách nhiệm giải trình (bao gồm dấu vết
kiểm toán), mã hóa, phân loại tài sản và người dùng
73
73

Information security safeguards focus on lower-level planning that deale with the
functionality of the organization’s security; they include disaster recovery planning,
incident response planning, and SETA programs and are collectively called _____
controls.
a. managerial
b. technical
c. strategic
d. operational
74
37
02-Feb-23
Information security safeguards focus on lower-level planning that deal with the
functionality of the organization’s security; they include disaster recovery planning,
incident response planning, and SETA programs and are collectively called _____ controls.
Answer: d. operational
Operational controls address personnel and physical security and the protection of
production inputs/outputs, while managerial controls set the direction and scope of the
security processes and provide detailed instructions for their conduct, and technical
controls are the tactical and technical implementations related to designing and
integrating security in the organization.
75
4.2.3. Phòng thủ sâu

 Nguyên lý cơ bản của kiến trúc an toàn là việc triển khai an toàn theo lớp. Để đạt
được khả năng phòng thủ sâu, một tổ chức phải thiết lập nhiều lớp kiểm soát an
ninh và các biện pháp bảo vệ, có thể được tổ chức thành chính sách, đào tạo,
giáo dục và công nghệ, khi kết hợp nhiều lớp bảo vệ, chính sách có thể hỗ trợ
ngăn chặn các cuộc tấn công. Ví dụ, lớp đào tạo và giáo dục có thể giúp bảo vệ
chống lại các cuộc tấn công được kích hoạt bởi sự thiếu hiểu biết của nhân viên
và kỹ thuật xã hội. Công nghệ cũng được thực hiện theo từng lớp, với thiết bị
phát hiện hoạt động song song với công nghệ phản ứng đằng sau cơ chế kiểm
soát truy cập. Dự phòng có thể được triển khai tại một số điểm trong toàn bộ
kiến trúc an toàn, chẳng hạn như trong tường lửa, máy chủ proxy và kiểm soát
truy cập
76
76
38
02-Feb-23
4.2.3. Phòng thủ sâu
77
77
4.2.4. Vành đai an toàn

 Vành đai an toàn là biên giới an ninh bảo vệ tất cả các hệ thống bên trong khỏi
các mối đe dọa từ bên ngoài
 Vai trò bảo vệ của vành đai gặp khó khăn trong các trường hợp sau:
 Các cuộc tấn công nội bộ từ các mối đe dọa của nhân viên / các mối đe dọa vật lý tại chỗ
 Sự xuất hiện của các thiết bị điện toán di động, có chức năng dựa trên đám mây
 Cần tăng cường tập trung vào việc cải thiện an toàn cấp hệ thống đối với các tài
sản được nối mạng. Một tổ chức cần kết hợp vành đai an toàn điện tử (electronic
security perimeter) với vành đai an toàn vật lý (physical security perimeter). Vành
đai an toàn là một yếu tố thiết yếu của khung bảo mật tổng thể, các chi tiết triển
khai của nó là cốt lõi của bảng kế hoạch chi tiết an toàn thông tin hoàn chỉnh.
Các thành phần chính của vành đai an toàn là tường lửa, DMZ (demilitarized
zones), máy chủ proxy và IDPSs
78
78
39
02-Feb-23
4.2.4. Vành đai an toàn

 Với sự phát triển vượt bậc về mức độ phổ biến của điện toán đám mây và
lưu trữ dữ liệu, cũng như việc tiếp tục sử dụng các thiết bị điện toán di động,
ranh giới “bên trong” hay “bên ngoài” đối với mạng của các tổ chức gần như
bị xóa nhòa
 Vành đai an toàn là toàn bộ sự hiện diện mạng của một tổ chức, ở bất nơi
nào có dữ liệu của đơn vị, việc sử dụng phòng thủ sâu là một cách tiếp cận hợp
lệ để bảo vệ đơn vị trong môi trường công nghệ mới
79
79
80
80
40
02-Feb-23
Bài tập
Câu hỏi ôn tập (review questions)
 1, 5, 7, 17, 18, 19, 20, 21
Bài tập (exercises)
 2, 3
81
41

AISe C03

Uploaded by

Document Information

Original Title

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

AISe C03

Uploaded by

Copyright:

Available Formats

02-Feb-23

Nguyễn Hữu Bình-Khoa Kế toán-Trường Kinh Doanh-UEH-huubinh_ais@ueh.edu.vn

Nguyễn Hữu Bình-Khoa Kế toán-Trường Kinh Doanh-UEH-huubinh_ais@ueh.edu.vn

Nguyễn Hữu Bình-Khoa Kế toán-Trường Kinh Doanh-UEH-huubinh_ais@ueh.edu.vn

Mục tiêu chương

Information Security Governance Quản trị an toàn thông tin

Giới thiệu về quản lý an toàn thông tin

Nguyễn Hữu Bình-Khoa Kế toán-Trường Kinh Doanh-UEH-huubinh_ais@ueh.edu.vn

1. Lập kế hoạch và quản trị an toàn thông tin

1.1. Hoạt động lãnh đạo an toàn thông tin

1.1. Hoạt động lãnh đạo an toàn thông tin

1.1. Hoạt động lãnh đạo an toàn thông tin

1.1. Hoạt động lãnh đạo an toàn thông tin

1.1. Hoạt động lãnh đạo an toàn thông tin

1.1. Hoạt động lãnh đạo an toàn thông tin

1.1. Hoạt động lãnh đạo an toàn thông tin

1.2. Kết quả quản trị an toàn thông tin

1.3. Các cấp độ lập kế hoạch

1.3. Các cấp độ lập kế hoạch

1.3. Các cấp độ lập kế hoạch

1.3. Các cấp độ lập kế hoạch

1.4 Lập kế hoạch và giám đốc an toàn thông tin (CISO)

Nguyễn Hữu Bình-Khoa Kế toán-Trường Kinh Doanh-UEH-huubinh_ais@ueh.edu.vn

1.4 Lập kế hoạch và giám đốc an toàn thông tin (CISO)

Nguyễn Hữu Bình-Khoa Kế toán-Trường Kinh Doanh-UEH-huubinh_ais@ueh.edu.vn

2. Chính sách, tiêu chuẩn, và thực tiễn triển khai ATTT

2. Chính sách, tiêu chuẩn, và thực tiễn triển khai ATTT

2. Chính sách, tiêu chuẩn, và thực tiễn triển khai ATTT

Các hướng dẫn, thủ tục

Knowledge Check Activity 1

Nguyễn Hữu Bình-Khoa Kế toán-Trường Kinh Doanh-UEH-huubinh_ais@ueh.edu.vn

Knowledge Check Activity 1: Answer

Nguyễn Hữu Bình-Khoa Kế toán-Trường Kinh Doanh-UEH-huubinh_ais@ueh.edu.vn

2.1.1. Chính sách ATTT doanh nghiệp (EISP)

2.1.1. Chính sách ATTT doanh nghiệp (EISP)

2.1.1. Chính sách ATTT doanh nghiệp (EISP)

2.1.2. Chính sách an toàn đặc thù (ISSP)

2.1.2. Chính sách an toàn đặc thù (ISSP)

2.1.3. Chính sách an toàn dành riêng cho hệ

2.2. Phát triển và triển khai chính sách an toàn

2.3. Quản lý chính sách

2.3. Quản lý chính sách

3. Chương trình giáo dục, huấn luyện và nhận thức

3. Chương trình giáo dục, huấn luyện và nhận thức

3. Chương trình giáo dục, huấn luyện và nhận thức

3. Chương trình giáo dục, huấn luyện và nhận thức

Awareness Training Education

3. Chương trình giáo dục, huấn luyện và nhận thức

3.1. Giáo dục an toàn

3.1. Giáo dục an toàn

3.2. Huấn luyện an toàn

3.2. Huấn luyện an toàn

3.3. Nhận thức về an toàn

3.3. Nhận thức về an toàn

Knowledge Check Activity 2

Nguyễn Hữu Bình-Khoa Kế toán-Trường Kinh Doanh-UEH-huubinh_ais@ueh.edu.vn

Knowledge Check Activity 2: Answer

Nguyễn Hữu Bình-Khoa Kế toán-Trường Kinh Doanh-UEH-huubinh_ais@ueh.edu.vn

4. Bảng kế hoạch chi tiết, mô hình, và khuôn mẫu về an

4.1. Giới thiệu

4.1. Giới thiệu

4.1. Giới thiệu

4.1 Giới thiệu