CHƯƠNG 7: LUẬT, ĐẠO ĐỨC VÀ

CÁC VẤN ĐỀ NHÂN SỰ

1
 Mục tiêu
1. Hiểu sự khác biệt giữa luật, đạo đức & thực hành an toàn thông tin
2. Bộ quy tắc đạo đức của các tổ chức nghề nghiệp
3. Mô tả công việc an toàn thông tin nên được định vị ở đâu và như
thế nào trong tổ chức
4. Giải thích các vấn đề và mối quan tâm liên quan đến việc cung cấp
nhân sự cho vị trí an toàn thông tin
5. Minh họa cách các chính sách và thực tiễn công việc có thể hỗ trợ
các nỗ lực an toàn thông tin
6. Xác định các biện pháp an toàn đặc biệt cần được thực hiện khi
sử dụng các nhân viên hợp đồng
7. Giải thích sự cần thiết của việc phân chia trách nhiệm
8. Mô tả các yêu cầu đặc biệt cần thiết để đảm bảo quyền riêng tư
của dữ liệu nhân sự

2
 Nội dung
1. Luật, đạo đức & thực hành an toàn thông tin
2. Bộ quy tắc đạo đức của các tổ chức nghề nghiệp
3. Định vị và cung cấp nhân sự cho vị trí an toàn thông
tin
4. Chính sách và thực tiễn công việc
5. Các cân nhắc về an toàn đối với những người không
phải nhân viên của công ty
6. Các chiến lược kiểm soát nội bộ
7. Quyền riêng tư và bảo mật của dữ liệu nhân sự

3
 Thuật ngữ
English Ref Vietnamese
Chief information officer (CIO) An executive- 588– Giám đốc thông tin (giám
level position that oversees the organization’s 590 đốc điều hành)
computing technology and strives
to create efficiency in the processing and
access of the organization’s information.
Chief Information Security Officer (CISO): 588- Giám đốc an toàn thông
Typically considered the top information 589 tin
security officer in an organization. The CISO is
usually not an executive-level position, and
frequently the person in this role reports to the
CIO.
Chief security Offices (CSO): Direct of 590- Phụ trách an toàn về
Corporate Security - physical security 591 trang thiết bị, cơ sở hạ
responsibilities tầng của doanh nghiệp
Community of interest. A group of individuals Một nhóm có lợi ích liên
who are united by similar interests or values quan
within an organization and who share a
common goal of helping the organization to
meet its objectives.
 Thuật ngữ
English Ref Vietnamese

Information Systems Audit Hiệp hội kiểm toán và kiểm soát hệ thống
And Control Association- thông tin
ISACA
The International Information 594 Hiệp hội chứng nhận Bảo mật hệ thông tin
Systems Security quốc tế
Certification Consortium -
(𝑰𝑺𝑪)𝟐
System Administration, Viện quản trị hệ thống, mạng và an ninh
Networking, and Security
Institute – SANS
EC-Council EC-Council được biết đến trên toàn thế giới
là đơn vị dẫn đầu về giáo dục, đào tạo và
cung cấp chứng chỉ an toàn thông tin.
(http://ipmac.vn/technology-corner/tong-quan-
he-thong-chung-chi-ec-council
 Thuật ngữ
English Ref Vietnamese

International Society of Forensic Hiệp hội quốc tế giám định gian

Computer Examiners (ISFCE) lận máy tính/ Hiệp hội quốc tế
is membership organization dedicated to Giám định Máy tính Pháp y
providing internationally recognized,
unblemished training, certification, and
proficiency testing in the field of computer
forensics.
https://www.linkedin.com/company/intern
ational-society-of-forensic-computer-
examiners-isfce
CompTIA. tổ chức cung cấp các chứng chỉ IT
chuyên nghiệp không phụ thuộc
vào sản phẩm hay công nghệ của
bất cứ hãng nào
 Thuật ngữ - Lưu ý
English Ref Vietnamese

Chief Giám đốc/

Manager Người quản lý

Technician Kỹ thuật viên

Specialist

Generelist
 1. Luật, đạo đức & thực hành an toàn
thông tin
• Phân biệt giữa luật và đạo đức trong an toàn
thông tin
• Chính sách và luật trong an toàn thông tin
• Đạo đức và an toàn thông tin
• Sự khác biệt về đạo đức giữa các nền văn hóa
• Đạo đức và giáo dục
• Ngăn chặn hành vi phi đạo đức và bất hợp
pháp
8
 1. Luật, đạo đức & thực hành an toàn
thông tin
• Bằng cách giáo dục ban quản lý và nhân viên
của một tổ chức về các nghĩa vụ pháp lý
(thông qua việc nắm và hiểu luật), và đạo đức
cần có, cũng như việc sử dụng phù hợp các
thực hành an toàn thông tin, chuyên gia bảo
mật có thể giúp tổ chức tập trung vào các mục
tiêu kinh doanh chính của mình.

9
1.1 Phân biệt giữa luật và đạo đức trong an
toàn thông tin
• Luật: là các quy tắc bắt buộc hoặc nghiêm cấm các hành vi
xã hội nhất định và được thực thi bởi nhà nước
• Đạo đức: là nhánh của triết học xem xét bản chất, tiêu chí,
nguồn gốc, tính logic, và hiệu lực của phán đoán đạo đức
• Phong tục, văn hóa truyền thống: quan điểm đạo đức cố
định hoặc phong tục của một nhóm cụ thể
• Quy tắc mà các thành viên của xã hội tạo ra để cân bằng
giữa quyền tự quyết của cá nhân so với nhu cầu của toàn xã
hội gọi là luật. Điểm khác biệt chính giữa luật và đạo đức là?

10
1.2 Chính sách và luật trong an toàn thông tin
• Chính sách: các hướng dẫn quy định hành vi nhất định trong tổ
chức
• Trong một tổ chức, chuyên gia bảo mật thông tin giúp duy trì an
toàn thông tin qua việc thiết lập, và thực thi chính sách. Các chính
sách này hoạt động như luật tổ chức, hoàn chỉnh với các hình phạt,
thực tiễn tư pháp và các biện pháp trừng phạt để yêu cầu tuân thủ.
Tuy nhiên, sự khác biệt giữa chính sách và luật pháp là gì?
• Một chính sách có hiệu lực thi hành cần đáp ứng 5 tiêu chí:
– Phổ biến: thông qua bản in cứng và phân phối điện tử
– Đánh giá dễ đọc bằng cách chính sách được ghi lại bằng tiếng Anh và các
ngôn ngữ thay thế khác.
– Dễ hiểu bằng cách phát hành các câu đố và các bài đánh giá khác
– Tuân thủ bằng cách khi đăng nhập, yêu cầu một hành động cụ thể (nhấp
chuột) để cho thấy người dùng đã đọc, hiểu và đồng ý tuân thủ chính sách
– Thực thi thống nhất (bất kể tình trạng hoặc sự phân công của nhân viên)

11
 1.3 Đạo đức và an toàn thông tin
10 điều răn về Đạo đức máy tính từ Viện đạo đức máy tính
1. Không được dùng máy tính để làm hại người khác
2. Không nên can thiệp vào công việc máy tính của người khác
3. Không được rình mò các tệp máy tính của người khác
4. Không được dùng máy tính để ăn trộm
5. Không được sử dụng máy tính để làm chứng dối
6. Không được sao chép hoặc sử dụng phần mềm độc quyền mà
bạn chưa trả tiền
7. Không được sử dụng tài nguyên máy tính của người khác mà
không được phép hoặc bồi thường thích đáng
8. Không nên chiếm đoạt sản phẩm trí tuệ của người khác
9. Nên nghĩ về hậu quả xã hội của chương trình bạn đang viết
10. Cần phải luôn sử dụng máy tính theo cách đảm bảo sự thận
trọng và tôn trọng đối với nhân loại

12
 1.4 Sự khác biệt về đạo đức giữa các nền
văn hóa
• Sự khác biệt về văn hóa gây khó khăn trong việc
xác định hành vi đạo đức, hành vi không đạo đức,
đặc biệt khi nói đến việc sử dụng máy tính. (SV
tìm thêm vd cụ thể)
• Khó khăn này càng tăng cao khi hành vi đạo đức
của một quốc gia mâu thuẫn với bộ quy tắc đạo
đức của nhóm quốc gia khác. Ví dụ: văn hóa của
người Châu Á khi sử dụng các công nghệ máy tính
thường không tôn trọng bản quyền phần mềm.
Xung đột đạo đức này nảy sinh từ truyền thống
Châu Á về sở hữu tập thể, xung đột với việc bảo
vệ tài sản trí tuệ
13
 1.5 Đạo đức và giáo dục
• Giáo dục là yếu tố quan trọng hàng đầu trong
việc nâng cao nhận thức đạo đức
• Nhân viên phải được đào tạo về các hành vi
đạo đức được kỳ vọng, đặc biệt trong lĩnh vực
an toàn thông tin
• Việc đào tạo hành vi đạo đức phù hợp sẽ quan
trọng để hình thành nên người dùng hệ thống
có tư duy

14
 1.6 Ngăn chặn hành vi phi đạo đức và bất
hợp pháp
• Phương pháp tốt nhất để ngăn cản các hành vi phi
đạo đức và bất hợp pháp là thực thi luật, chính
sách và các kiểm soát kỹ thuật, giáo dục và đào
tạo.
• Luật và chính sách, các hình phạt đi kèm chỉ mang
lại hiệu quả nếu 3 điều kiện sau hiện hữu:
– Nỗi sợ bị phạt
– Khả năng bị bắt
– Khả năng hình phạt được áp dụng

15
2. Bộ quy tắc đạo đức của các tổ chức nghề
nghiệp

• Nhiều tổ chức nghề nghiệp đã thiết lập các quy

tắc ứng xử hoặc quy tắc đạo đức mà các thành
viên phải tuân theo. Các quy tắc đạo đức có thể
tác động tích cực đến tư duy của mọi ngừơi về
việc sử dụng máy tính. Tuy nhiên, nhiều người sử
dụng lao động lại không khuyến khích nhân viên
của họ tham gia vào các tổ chức nghề nghiệp,
trong khi việc đạt các chứng chỉ của tổ chức nghề
nghiệp có thể giúp những nhân viên này hạn chế
vi phạm đạo đức do sợ mất chứng nhận nghề
nghiệp.

16
2. Bộ quy tắc đạo đức của các tổ chức nghề
nghiệp
Các tổ chức nghề nghiệp
• Hiệp hội máy tính (Association of Computing Machinery)
• Hiệp hội kiểm tra và kiểm soát hệ thống thông tin
(Information Systems Audit and Control Association)
• Hiệp hội an toàn hệ thống thông tin (Information Systems
Security Association)
• Tổ chức chứng nhận bảo mật hệ thống thông tin quốc tế
(International Information Systems Security Ceritification
Consortium)
• Chứng nhận bảo đảm thông tin toàn cầu của viện SANS
(SANS Institute’s Globacl Information Assurance
Certification)

17
 2.1 Hiệp hội máy tính (Association of
Computing Machinery)

• www.acm.org
• Hiệp hội xây dựng bộ quy tắc gồm 24 mệnh
lệnh và trách nhiệm đạo đức cá nhân đối với
các chuyên gia bảo mật
• Tổ chức này nhấn mạnh vào đạo đức của các
chuyên gia bảo mật

18
2.2 Hiệp hội kiểm tra và kiểm soát hệ thống thông tin
(Information Systems Audit and Control Association)

• www.isaca.org
• Hiệp hội tập trung vào kiểm toán, bảo mật
thông tin, phân tích quy trình kinh doanh và
lập kế hoạch hệ thống thông tin thông qua các
chứng chỉ CISA và CISM
• Tổ chức này nhấn mạnh nhiệm vụ và kiến
thức cần thiết của chuyên gia kiểm toán hệ
thống thông tin

19
 2.3 Hiệp hội an toàn hệ thống thông tin
(Information Systems Security Association)

• www.issa.org
• Hiệp hội nghề nghiệp của các chuyên gia bảo
mật hệ thống thông tin, cung cấp diễn đàn
giáo dục, ấn phẩm và mạng ngang hàng cho
các thành viên
• Tổ chức này nhấn mạnh đến việc chia sẻ an
toàn thông tin một cách chuyên nghiệp

20
 2.4 Tổ chức chứng nhận bảo mật hệ thống
thông tin quốc tế (International Information
Systems Security Ceritification Consortium)

• www.isc2.org
• Đây là tập đoàn quốc tế chuyên nâng cao chất
lượng các chuyên gia bảo mật thông qua các
chứng chỉ SSCP và CISSP
• Tổ chức này đòi hỏi cá nhân có chứng chỉ phải
tuân theo bộ quy tắc đạo đức đã ban hành

21
2.5 Chứng nhận bảo đảm thông tin toàn cầu của
viện SANS (SANS Institute’s Global Information
Assurance Certification)

• www.giac.org
• Chứng chỉ GIAC tập trung vào bốn lĩnh vực bảo
mật: quản trị bảo mật, quản lý bảo mật, kiểm toán
CNTT và bảo mật phần mềm, những lĩnh vực này
có cấp độ tiêu chuẩn vàng và chuyên nghiệp.
• Tổ chức này yêu cầu cá nhân có chứng chỉ phải
tuân theo bộ quy tắc đạo đức đã được ban hành

22
 Nội dung
1. Luật, đạo đức & thực hành an toàn thông tin
2. Bộ quy tắc đạo đức của các tổ chức nghề nghiệp
3. Định vị và cung cấp nhân sự cho vị trí an toàn
thông tin
4. Chính sách và thực tiễn công việc
5. Các cân nhắc về an toàn đối với những người
không phải nhân viên của công ty
6. Các chiến lược kiểm soát nội bộ
7. Quyền riêng tư và bảo mật của dữ liệu nhân
sự

23
 Giới thiệu
Khi thực hiện an toàn thông tin, cần:
❖Định vị vị trí an toàn thông tin
❖Lập kế hoạch tuyển dụng cho các vị trí định
vị hoặc điều chỉnh kế hoạch tuyển dụng
❖Xác định mức độ yêu cầu an toàn thông tin
với các vị trí chức năng đã định vị. Điều chỉnh
các mô tả công việc và yêu cầu thực hành
❖Làm việc với chuyên gia an toàn thông tin để
tích hợp các khái niệm an toàn thông tin vào
các thực hành quản lý nhân viên trong doanh
nghiệp
3- Định vị và cung cấp nhân sự cho
vị trí an toàn thông tin

3.1. Định vị vị trí an toàn thông tin

3.2. Tổ chức nhân sự vị trí an toàn thông tin
3.3. Những lời khuyên cho người làm an ninh
thông tin chuyên nghiệp
3.1. ĐỊNH VỊ VỊ TRÍ AN TOÀN THÔNG TIN
Department Leader

Information Technology
CIO/VP for IT
Department

Information security
department CISO/CSO

• Cơ cấu tổ chức trên thường dùng với doanh nghiệp lớn.

• Cấu trúc trên ngụ ý là mục tiêu cụ thể của IT department và
IS department là riêng biệt nhưng phù hợp trên tổng thể
• Cơ cấu này có thể thay đổi theo qui mô doanh nghiệp và
theo quan điểm, khuynh hướng quản lý
 3.2. TỔ CHỨC NHÂN SỰ VỊ TRÍ AN
TOÀN THÔNG TIN

“Employment of information security analysts is projected

to grow 18 percent from 2014 to 2024, much faster than the
average for all occupations. Demand for information
security analysts is expected to be very high, as these
analysts will be needed to create innovative solutions to
prevent hackers from stealing critical information or causing
problems for computer networks”.
U.S. Bureau of Labor Statistics (BLS)
 3.2. TỔ CHỨC NHÂN SỰ VỊ TRÍ AN
TOÀN THÔNG TIN- Trình độ và yêu cầu
❖ Để tuyển dụng nhân sự hiệu quả, cần thực hiện các việc:
• Nhóm quản lý chung (The general management community of
interest) nên hiểu về các trình độ và yêu cầu về chuyên môn về an
toàn thông tin của các vị trí tuyển dụng
• Quản lý cấp cao cần hiểu về nhu cầu ngân sách cho an ninh thông tin
và việc định vị.
• Nhóm quản lý chung và quản lý IT (The IT and general management
communities) cần xác định mức độ phù hợp về các yêu cầu đối với các
vai trò, vị trí của an ninh thông tin, đặc biệt là vai trò của CISO
3.2. TỔ CHỨC NHÂN SỰ VỊ TRÍ AN TOÀN
THÔNG TIN- Trình độ và yêu cầu -Tuyển
nhân sự cho vị trí an toàn thông tin
❖ Các hiểu biết mà ứng viên các vị trí an ninh thông
tin thường cần
– Cách hoạt động của tổ chức ở mọi cấp độ
– Vấn đề an ninh thông tin thường là vấn đề quản lý/
kỹ thuật?
– Cách làm việc,hợp tác giữa người lao động, đặc
biệt là với người dùng cuối (end-users); sự quan
trọng là các kỹ năng truyền thông và viết
– Vai trò của chính sách trong hướng dẫn nỗ lực
trong an ninh; vai trò của đào tạo và huấn luyện để
đưa nhân viên và người dùng cuối trở thành 1
phần của giải pháp, hơn là 1 phần của vấn đề.
 3.2. TỔ CHỨC NHÂN SỰ VỊ TRÍ AN TOÀN
THÔNG TIN- Trình độ và yêu cầu - Tuyển nhân sự
cho vị trí an toàn thông tin (ATTT)
❖ Các hiểu biết mà ứng viên các vị trí an ninh thông
tin thường cần (tiếp theo)
– Hầu hết các CNTT thông thường, truyền thống thì
ở cấp độ chung, không nhất thiết là chuyên gia
– Thuật ngữ IT và an ninh thông tin
– Các mối đe dọa và cách chúng trở thành cuộc tấn
công đối với tổ chức
– Cách bảo vệ tài sản của tổ chức trước các cuộc
tấn công an ninh thông tin
– Các giải pháp kinh doanh, bao gồm giải pháp dựa
trên công nghệ được áp dụng để giải quyết các
vấn đề an ninh thông tin cụ thể
 3.2. TỔ CHỨC NHÂN SỰ VỊ TRÍ AN TOÀN THÔNG
TIN
❖ Các vị trí an toàn thông tin được chia thành 3 phạm vi thuộc lĩnh vực an
toàn thông tin (theo nghiên cứu của Schwartz, Erwin, Weafer, and Briney)
• Định nghĩa chương trình an toàn thông tin: (define)
– Được thực hiện bởi Các nhà quản lý (managers) an ninh cấp cao
– Mục tiêu Cung cấp chính sách, hoạt động lập kế hoạch; Quản lý đánh
giá rủi ro
• Xây dựng chương trình an toàn thông tin: (build)
– Là do các chuyên gia công nghệ (techies) thực hiện
– tạo các giải pháp kỹ thuật an ninh để bảo vệ phần mềm, hệ thống và
mạng
• Quản trị hệ thống kiểm soát và chương trình an toàn thông tin:
(Administer)
– Là những người quản lý (administrators) thực hiện, áp dụng các công
cụ của các chuyên gia công nghệ để phù hợp với các quyết định và
hướng dẫn của những người quản lý cấp cao ở vị trí định nghĩa
chương trình an ninh thông tin
– Cung cấp các giám sát hệ thống hàng ngày
 3.1. TỔ CHỨC NHÂN SỰ VỊ TRÍ AN TOÀN THÔNG TIN
Sơ đồ các vị trí trong Bộ phận an toàn thông tin
3.2. TỔ CHỨC NHÂN SỰ VỊ TRÍ AN TOÀN
THÔNG TIN – CISO
CIO/VP for IT
Báo cáo
cho

❖Chief Information Security Officer

(CISO): Giám đốc an toàn thông tin
• Là lãnh đạo của bộ phận an ninh thông tin
(the information security department).
• Tập trung vào an ninh dữ liệu
 3.2. TỔ CHỨC NHÂN SỰ VỊ TRÍ AN TOÀN
THÔNG TIN
❖ Chief Information Security Officer (CISO) (tiếp):

• Chức năng của CISO: Xây dựng định hướng Bộ phận

hệ thống thông tin (IS department)

o Xác định vấn đề luân chuyển/tắc nghẽn thông tin

thông qua Kiểm tra DL khi chuyển giao và lưu trữ

o Kiểm tra hệ thống để khám phá những lỗi (faults) an

ninh thông tin; khiếm khuyết (flaws) của công nghệ,
phần mềm, hoạt động của nhân viên và qui trình
I.2. TỔ CHỨC NHÂN SỰ VỊ TRÍ AN TOÀN
THÔNG TIN
❖ Chief Information Security Officer (CISO) (tiếp) :

❖Chức năng cụ thể (Functions)- ví dụ

• Quản lý toàn bộ chương trình an ninh thông tin
• Phác thảo và chấp thuận các chính sách an
ninh thông tin
• Làm việc với CIO về: kế hoạch chiến lược; Phát
triển kế hoạch chiến thuật ; làm việc với các nhà
quản lý an ninh về kế hoạch hoạt động.
I.2. TỔ CHỨC NHÂN SỰ VỊ TRÍ AN TOÀN
THÔNG TIN
❖Chief Information Security Officer (CISO) :
❖Chức năng cụ thể (tiếp)- ví dụ
• Phát triển ngân sách an ninh thông tin trên cơ sở
quỹ hiện hành
• Thiết lập các ưu tiên cho mua và triển khai các
dự án an ninh thông tin và công nghệ
• Ra quyết định hoặc đề xuất cho việc tuyển dụng,
thuê và sa thải nhân viên an ninh
• Là người đại diện truyền thông của đội an ninh
thông tin
I.2. TỔ CHỨC NHÂN SỰ VỊ TRÍ AN TOÀN
THÔNG TIN- CSO
CIO, VP-IT; VP - Administration
Báo cáo
cho
❖ Chief security Officer (CSO): Giám đốc an
ninh
• Là người chịu trách nhiệm tập trung cho an
ninh về mặt vật lý (physical information
security).
• Có thể là CISO và kết hợp thêm trách nhiệm an
ninh thông tin về mặt vật lý
 I.2. TỔ CHỨC NHÂN SỰ VỊ TRÍ AN TOÀN
THÔNG TIN
CISO/CSO
Báo cáo
cho
❖Security Manager (Quản lý an ninh) : Có trách
nhiệm cho hoạt động hàng ngày của chương trình
an toàn thông tin
➢ Nhiệm vụ:
– Hoàn thành các nhiệm vụ do CISO xác định và giải quyết
các vấn đề do các kỹ thuật viên xác định
– Lập lịch trình, thiết lập mức độ ưu tiên và thực hiện quản lý
các kiểm soát ngân sách.
 1.2. TỔ CHỨC NHÂN SỰ VỊ TRÍ AN TOÀN THÔNG
TIN- Security Manager
CISO/CSO
Báo cáo
cho
❖Security Manager : Có trách nhiệm cho hoạt động
hàng ngày của chương trình an ninh thông tin.
➢ Năng lực
– Có năng lực phác thảo các chính sách, tiêu chuẩn và hướng
dẫn ở cấp thấp và cấp trung
– Có kinh nghiệm trong các vấn đề kinh doanh như lập ngân
sách, quản lý dự án, quản lý nhân sự
– Có khả năng quản lý các nhân viên kỹ thuật, bao gồm phân
chia nhiệm vụ và giám sát thực hiện nhiệm vụ của họ
– Có thể cần thêm kinh nghiệm trong lập kế hoạch kinh doanh
liên tục (Business continuity planning)
 1.2. TỔ CHỨC NHÂN SỰ VỊ TRÍ AN
TOÀN THÔNG TIN
Information security Management
Báo cáo
trực tiếp

❖ Security Analyst (phân tích viên an ninh)

• Có thể Là kỹ thuật viên an ninh (security technicians) / kiến trúc sư an ninh/
kỹ sư an ninh có kiến thức tốt. Họ thường được xem như vị trí “cấp bậc thấp”
(an entry-level position)
• Nhiệm vụ:
– Thiết lập cấu hình các hệ thống kỹ thuật để kiểm soát truy cập và tấn công
tới hệ thống, vd như tường lửa (firewalls), hệ thống phát hiện và ngăn ngừa
xâm nhập (Intrusion Detection and Prevention Systems-IDPSs), triển khai
phần mềm an ninh, chuẩn đoán và gỡ rối vấn đề.
– Hợp tác với người quản trị mạng và hệ thống để đảm bảo công nghệ an
ninh của doanh nghiệp được triển khai đúng
 1.3. Những lời khuyên cho người an ninh
thông tin chuyên nghiệp
• Luôn nhớ kinh doanh trước công nghệ. Giải pháp công
nghệ chỉ là công cụ để giải quyết vấn đề kinh doanh.
• Công nghệ có thể cung cấp giải pháp tốt cho một số vấn
đề nhưng cũng có thể làm trầm trọng thêm vấn đề khác.
Khi đánh giá vấn đề, xem nguồn gốc vấn đề trước, xác
định các nhân tố ảnh hưởng tới vấn đề và chính sách
của tổ chức có thể dẫn tới thiết kế giải pháp độc lập với
công nghệ
• Nghề an ninh thông tin là bảo vệ thông tin và nguồn lực
hệ thống thông tin của tổ chức
 1.3. Những lời khuyên cho người an ninh
thông tin chuyên nghiệp (tiếp)
• Bảo mật thông tin cần minh bạch với người sử dụng.
Các hành động bảo vệ thông tin không được can thiệp
vào hành động của người sử dụng (trừ 1 số trường hợp
nhỏ)
• Biết nhiều, nói ít. Đừng cố gắng dùng những kiến thức,
kinh nghiệm chuyên môn của mình để gây ấn tượng với
những người không chuyên về kỹ thuật
• Hãy sử dụng ngôn ngữ của người sử dụng khi trao đổi
vấn đề
• Luôn học hỏi và tự đào tạo kiến thức mới
4. Chính sách và thực tiễn công tác
2.1. Mục tiêu
2.2. Qui trình và các hoạt động cần thực
hiện để tuyển dụng và quản lý nhân sự an
toàn thông tin
 2. Chính sách và thực tiễn công tác
2.1. Mục tiêu: tích hợp qui trình an toàn thông tin vào tuyển
dụng nhân sự và quản lý nhân viên
2.2. Qui trình và các hoạt động cần thực hiện để tuyển dụng
và quản lý nhân sự an toàn thông tin:
• Phỏng vấn. Quản lý An ninh thông tin cần lưu ý phòng nhân sự những
thông tin không nên công bố (vd những đặc quyền truy cập thông tin
v.v..) trong quá trình phỏng vấn ứng viên
• Kiểm tra lý lịch (background check). Nên được Thực hiện trước khi
mở rộng đề nghị công việc với ứng viên. Ngoài việc kiểm tra thông
thường (nhân thân, chứng chỉ/bằng cấp, thu nhập v.v..), bước này cần
tập trung tìm hiểu những hành vi phạm tội trong quá khứ hoặc những
hành vi là tiềm năng cho việc vi phạm sau này của ứng viên
2. Chính sách và thực tiễn công tác
2.2. Qui trình và các hoạt động cần thực hiện để tuyển
dụng và quản lý nhân sự an toàn thông tin: (tiếp)
• Ký hợp đồng (hợp đồng an toàn thông tin) tuyển
dụng
o Gồm các chính sách của tổ chức về việc tuân thủ
và sử dụng thông tin, các thỏa thuận về giám sát
và không tiết lộ thông tin; những giới hạn nghiêm
ngặt về tạo và sở hữu tài sản thông tin
o Nhân viên ký hợp đồng này như một cách “tuyên
thệ” bằng văn bản đồng ý tuân thủ các chính sách
ràng buộc của tổ chức
2. Chính sách và thực tiễn công tác
2.2. Qui trình và các hoạt động cần thực hiện để tuyển
dụng và quản lý nhân sự an toàn thông tin: (tiếp)
• Định hướng nghề nghiệp/Giới thiệu thông tin cần
thiết cho nhân sự mới (New Hire Orientation)
o Ngoài những nội dung thông thường (vd văn hóa
DN, qui trình, luân chuyển công việc v.v..), cần
nhấn mạnh nhận thức an toàn thông tin, tóm lược
và những vấn đề an ninh thông tin: chính sách, qui
trình thủ tục cần thiết, các yêu cầu an toàn thông
tin với nhân sự mới
2. Chính sách và thực tiễn công tác
2.2. Qui trình và các hoạt động cần thực hiện để tuyển dụng
và quản lý nhân sự an toàn thông tin: (tiếp)
• Huấn luyện an ninh gắn với công việc (On-the-job security
training)
– Cần tích hợp giáo dục nhận thức an toàn thông tin trong định
hướng nghề nghiệp
– Duy trì thường xuyên và gắn nhận thức an toàn thông tin vào công
việc hàng ngày
• Đánh giá thành quả
– Đánh giá thành quả nhân viên phải bao gồm phản ánh việc nhận
thức an toàn thông tin và giảm thiểu hành vi gây rủi ro tại nơi làm
việc vào
2. Chính sách và thực tiễn công tác
2.2. Qui trình và các hoạt động cần thực hiện để tuyển
dụng và quản lý nhân sự an toàn thông tin: (tiếp)
• Chấm dứt làm việc tại công ty. Đặc biệt lưu ý vấn đề an
ninh thông tin trước khi nhân viên thôi việc. Cụ thể
o Gỡ bỏ quyền truy cập tới hệ thống của công ty
o Các phương tiện/thiết bị lưu trữ ngoài HT cần được thu hồi
o Ổ đĩa cứng cần được bảo mật
o Thay khóa tủ
o Thay khóa cửa văn phòng
o Khóa các Thẻ từ truy cập
o Gỡ bỏ khỏi nơi làm các ảnh hưởng tác động của người nghỉ việc
(vd, lưu trữ hoặc tiêu hủy tập tin liên quan)
o Có thể có buổi phỏng vấn/nói chuyện nhắc nhở về các điều
5. CÂN NHẮC AN TOÀN THÔNG TIN VỚI NHỮNG
NGƯỜI KHÔNG PHẢI NHÂN VIÊN CÔNG TY

• Các nhóm người không phải nhân viên chính thức công
ty nhưng do đặc thù quan hệ công việc họ vẫn có quyền
truy cập những thông tin quan trọng của đơn vị, gồm:
Nhân viên tạm thời, nhân viên hợp đồng, tư vấn, v.v..
• Những nhân viên này vẫn cần được quản lý cẩn thận để
để tránh rỏ rỉ, đánh cắp thông tin
 3. CÂN NHẮC AN TOÀN THÔNG TIN VỚI
NHỮNG NGƯỜI KHÔNG PHẢI NHÂN VIÊN
CHÍNH THỨC CÔNG TY

❖ NHÓM NHÂN VIÊN TẠM THỜI:

• Chỉ giới hạn những điều cần thiết để họ thực hiện nhiệm vụ
• Đảm bảo các nhân viên này tuân thủ các thực hành an toàn
thông tin
• Có thể yêu cầu ký các thỏa thuận không tiết lộ và chính sách
sử dụng hợp pháp
 3. CÂN NHẮC AN TOÀN THÔNG TIN VỚI
NHỮNG NGƯỜI KHÔNG PHẢI NHÂN VIÊN
CHÍNH THỨC CÔNG TY
❖ NHÓM NHÂN VIÊN HỢP ĐỒNG:
• Thường là nhân viên thực hiện: bảo vệ; bảo dưỡng, sửa
chữa thiết bị; cung cấp các dịch vụ
• Ký kết và đưa các điều khoản yêu cầu công việc và giới hạn
trách nhiệm rõ ràng
• Có kế hoạch thực hiện công việc các dịch vu theo hợp đồng
• Giám sát trực tiếp quá trình làm và di chuyển của nhóm
nhân viên này
 3. CÂN NHẮC AN TOÀN THÔNG TIN VỚI
NHỮNG NGƯỜI KHÔNG PHẢI NHÂN VIÊN
CHÍNH THỨC CÔNG TY
❖ NHÓM TƯ VẤN
– Thường là người được thuê theo từng lần của dịch
vụ yêu cầu
– Hợp đồng cần xác định rõ thông tin và tất cả thiết bị
được phép truy cập cũng như những vấn đề không
được tiết lộ về đơn vị
– Cần sàng lọc và giám sát một cách đặc biệt các di
chuyển của những nhân viên tư vấn công nghệ và
tư vấn thông tin
 3. CÂN NHẮC AN TOÀN THÔNG TIN VỚI
NHỮNG NGƯỜI KHÔNG PHẢI NHÂN VIÊN
CHÍNH THỨC CÔNG TY
❖ ĐỐI TÁC KINH DOANH
– Thường là các tổ chức có hợp tác kinh doanh: trao đổi thông
tin, hệ thống tích hợp, thảo luận các hoạt động để cùng có lợi
hay đạt lợi thế
– Hợp đồng/ thỏa thuận cần xác định:
• Những vấn đề bộc lộ ra và điểm yếu bảo mật (phơi
nhiễm- exposure) mà cả 2 bên cùng phải gánh chịu
• Các thông tin gì cần được trao đổi, ở cấp độ nào, với ai
• Những thông tin không được tiết lộ
– Trường hợp tích hợp hệ thống thì mức độ an ninh của các hệ
thống cần rà soát và đảm bảo an toàn trước khi tích hợp
 4. Chiến lược kiểm soát nội bộ
• Phân chia trách nhiệm là nền tảng quan trọng cho bảo vệ tài sản thông tin
và ngăn ngừa thất thoát tài chính
– Phân chia trách nhiệm liên quan thực hiện hoạt động kinh tế
– Phân chia trách nhiệm tiếp cận và sử dụng dữ liệu:
• Kiểm soát kép (two- person control hay Double check): hai người làm việc
tuần tự theo trình tự và hai người cùng xem xét, chấp thuận công việc của
nhau.
• Luân chuyển công việc (job/task rotation). Ưu điểm
– Các nhân viên đều có thể có những trải nghiệm và đảm nhiệm được
nhiều công việc khác nhau -> dễ thay thế nhau trong tình huống cần
thiết
– Có thể phát hiện việc sử dụng sai hoặc lạm dụng thông tin của người ở
vị trí bị thay thế..
4. Chiến lược kiểm soát nội bộ (tiếp)

• Thực hiện kỳ nghỉ bắt buộc với nhân viên: một hình thức có
người thay thế tạm công việc nhằm phát hiện những bất
thường. Nó cũng đồng thời là KS ngăn ngừa nếu nhân viên
biết chính sách này

• Giới hạn mức độ và phạm vi truy cập thông tin cần thiết
cho công việc (còn gọi “need to know” hoặc “least privilege”)
– Chỉ được phép truy cập và sử dụng thông tin trên cơ sở những gì
cần nhằm đảm bảo không lo ngại về tính bảo mật, toàn vẹn và tính
khả dụng
4. Chiến lược kiểm soát nội bộ (tiếp)
• Đối với những vị trí người lao động có thông tin đặc
biệt hay rất quan trọng có tính độc quyền,
– Có thể áp dụng chính sách “garden leave- về vườn”:
Công ty trả thêm lương 1 thời gian nào đó sau khi
nghỉ làm (vd 30 ngày) và yêu cầu trong thời gian này
nhân viên không đi làm ở công ty mới. Mục đích để
nhân viên không có thông tin cập nhật mới.
– Hoặc yêu cầu không được làm cho đối thủ cạnh tranh
trong khoảng thời gian bao nhiêu lâu sau khi nghỉ
việc tại công ty
4. Quyền riêng tư và bảo mật dữ liệu nhân sự

• Thông tin cá nhân: địa chỉ, điện thoại, mã số

thuế, số an sinh xã hội, thông tin y tế, thông tin
gia đình
• Các thông tin cá nhân cần được bảo mật giống
những thông tin quan trọng khác của doanh
nghiệp.