MỤC LỤC
LỜI MỞ ĐẦU......................................................................................................4
CHƯƠNG I: TỔNG QUAN VỀ AN TOÀN THƠNG TIN, CHÍNH SÁCH,
QUY ĐỊNH ĐẢM BẢO AN TỒN THƠNG TIN TẠI VIỆT NAM..............6
1. An tồn thơng tin là gì?................................................................................6
2. Thực trạng vấn đề an tồn thơng tin tại Việt Nam...................................8
3. Các dạng tội phạm, hành vi xâm phạm an tồn thơng tin hiện nay......10
3.1. Lừa đảo mạng ATM.............................................................................11
3.2. Tiếp tục các tấn công dạng Phishing..................................................11
3.3. Tấn công từ chối SQL..........................................................................12
3.4. Drive-By Attacks Deliver.....................................................................12
3.5. Mạng xã hội khơng cịn là mục tiêu mới............................................13
3.6. Smartphones: trò chơi mới của tin tặc...............................................14
4. Cách đối phó..............................................................................................14
5. Xây dựng hệ thống bảo đảm an tồn thơng tin.......................................16
6. Chính sách, quy định đảm bảo an tồn thơng tin...................................20
CHƯƠNG II: BỘ LUẬT THỰC THI VỀ QUẢN LÝ AN TỒN THƠNG
TIN ISO/IEC 27002:2005.................................................................................22
1. Phạm vi.....................................................................................................22
2. Điều khoản và định nghĩa........................................................................22
3. Cấu trúc của tiêu chuẩn..........................................................................23
3.1. Điều khoản............................................................................................23
3.2. Các hạng mục bảo mật chính..............................................................24
4. Đánh giá và xử lý rủi ro bảo mật............................................................24
1


4.1. Đánh giá rủi ro.....................................................................................24
4.2. Xử lý rủi ro...........................................................................................25
5. Chính sách an tồn...................................................................................27
5.1. Chính sách an tồn thơng tin..............................................................27

6. Tổ chức của an tồn thơng tin................................................................29
6.1. Tổ chức nội bộ......................................................................................29
6.2. Tổ chức bên ngoài................................................................................33
7. Quản lý tài sản..........................................................................................35
7.1. Trách nhiệm đối với tài sản.................................................................35
7.2. Phân loại thông tin...............................................................................37
8. Bảo mật nguồn nhân lực..........................................................................38
8.1. Ưu tiên làm việc....................................................................................38
8.2. Trong quá trình làm việc.....................................................................40
8.3. Chấm dứt và thay đổi việc làm...........................................................42
9. Bảo mật vật lý và mơi trường.................................................................44
9.1. Khu vực an tồn...................................................................................44
9.2. Bảo mật thiết bị....................................................................................47
10. Quản lý hoạt động và truyền thông........................................................49
10.1. Thủ tục và trách nhiệm hoạt động....................................................49
10.2. Quản lý giao hàng dịch vụ bên thứ ba.............................................50
10.3. Sao lưu.................................................................................................53
10.4. Quản lý an ninh mạng.......................................................................53
10.5. Giám sát..............................................................................................55
11. Kiểm soát truy cập...................................................................................56
11.1. Quản lý truy cập người dùng............................................................56
2


11.2. Trách nhiệm của người dùng.............................................................59
11.3. Kiểm soát truy cập mạng...................................................................60
11.4. Ứng dụng và kiểm sốt truy cập thơng tin.......................................63
12. Phát triển và bảo trì hệ thống thơng tin.................................................64
12.1. u cầu bảo mật của hệ thống thông tin..........................................64
12.2. Bảo mật các file hệ thống...................................................................65

12.3. Bảo mật trong quá trình phát triển và hỗ trợ.................................68
13. Quản lý sự cố về an tồn thơng tin.........................................................70
13.1. Báo cáo các sự kiện và điểm yếu về bảo mật thông tin...................70
13.2. Quản lý sự cố và cải thiện an tồn thơng tin...................................72
14. Tn thủ....................................................................................................74
14.1. Tn thủ các chính sách và tiêu chuẩn bảo mật..............................74
14.2. Kiểm tra tuân thủ kỹ thuật...............................................................75
KẾT LUẬN........................................................................................................76

3


LỜI MỞ ĐẦU
Sự phát triển của Internet Việt Nam đã đạt được nhiều thành quả to lớn
trong 20 năm qua. Theo báo cáo thống kê, hiện đang có 68,17 triệu người đang
sử dụng dịch vụ internet tại Việt Nam vào tháng 1 năm 2020. Trong đó, tổng số
người sử dụng các dịch vụ có liên quan tới internet tại Việt Nam đã chính thức
tăng khoảng 6,2 triệu (tăng hơn + 10,0%) kể từ năm 2019 tính đến năm 2020.
Một kết quả thống kê đáng mừng đó là, tình hình sử dụng Internet ở Việt Nam
trên tổng dân số người Việt hiện đang đứng ở mức 70% tính đến thời điểm là
tháng 1 năm 2020. Bên cạnh đó, xu hướng ứng dụng công nghệ thống tin vào
cuộc sống càng sâu rộng thì các loại hình tội phạm mạng cũng như các nguy cơ
làm mất an tồn thơng tin ngày càng đa dạng và khó phịng chống hơn. Hệ thống
máy tính của các cá nhân tổ chức thường xuyên phải đối phó với các cuộc tấn
cơng, xâm nhập trái phép, gây rị rỉ, mất mát thơng tin, thậm chí dừng hoạt động,
ảnh hưởng tiêu cực tới tiến độ, chất lượng công việc, kéo theo đó là các tổn thất
về kinh tế, uy tín của cá nhân, tổ chức và thậm chí ảnh hưởng tới an ninh quốc
gia.
Theo báo cáo của nhiều tổ chức quốc tế về an tồn thơng tin, Việt Nam là
một trong các mục tiêu hàng đầu trong khu vực của tấn cơng gián điệp có tổ

chức, mà mục tiêu của các cuộc tấn công này là các cơ quan, tổ chức quan trọng
thuộc chính phủ và các tổ chức có sở hữu các hạ tầng thơng tin trọng yếu.
Bên cạnh những rủi ro về an tồn thơng tin do bị tấn cơng phá hoại có chủ
đích, đáng chú ý là nhiều đơn vị không biết những sự cố liên quan đến an tồn
thơng tin đang nằm trọng hệ thống mạng của mình. Các nguyên nhân chủ yếu là:
các quy trình quản lý, vận hành khơng đảm bảo, việc quản lý quyền truy cập
chưa được kiểm tra và xem xét định kỳ, nhận thức của nhân viên trong việc sử
dụng và trao đổi thông tin chưa đầy đủ, năng lực của các cán bộ kỹ thuật còn
yếu, thiếu cán bộ chuyên môn và thiếu trang bị kỹ thuật tối thiểu….
Xuất phát từ thực trạng đó, em chọn hướng “nghiên cứu, tìm hiểu các
chính sách, quy định đảm bảo an tồn thơng tin tại Việt nam. Phân tích các nội
4


dung trong Bộ luật thực thi về quản lý an tồn thơng tin ISO/IEC 27002:2005”
để hiểu rõ hơn về an tồn thơng tin tại Việt Nam và Bộ luật thực thi về quản lý
an tồn thơng tin ISO/IEC 27002:2005.
Nội dụng của bài tiểu luận được trình bày theo 2 chương: Tổ chức cấu trúc như
sau:
Chương I: Tổng quan về an tồn thơng tin, chính sách, quy định đảm bảo an
tồn thông tin tại Việt Nam
Chương II: Bộ luật thực thi về quản lý an tồn thơng tin ISO/IEC 27002:2005
Mặc dù có nhiều cố gắng nhưng vốn kiến thức chưa sâu nên khơng tránh
khỏi những thiếu sót. Rất mong được sự góp ý của thầy cơ và các bạn để được
hồn thiện hơn.
Em xin chân thành cảm ơn !

5



CHƯƠNG I: TỔNG QUAN VỀ AN TỒN THƠNG TIN, CHÍNH SÁCH,
QUY ĐỊNH ĐẢM BẢO AN TỒN THƠNG TIN TẠI VIỆT NAM
1. An tồn thơng tin là gì?
An tồn thơng tin là một mắt xích liên kết hai yếu tố: yếu tố công nghệ và
yếu tố con người.
 Yếu tố công nghệ: bao gồm những sản phẩm như Firewall, phần mềm
phòng chống virus, giải pháp mật mã, sản phẩm mạng, hệ điều hành và
những ứng dụng như: trình duyệt Internet và phần mềm nhận Email từ
máy trạm.
 Yếu tố con người: Là những người sử dụng máy tính, những người làm
việc với thơng tin và sử dụng máy tính trong cơng việc của mình.
Hai yếu tố trên được liên kết lại thơng qua các chính sách về An tồn
thơng tin.
Theo ISO 17799, An tồn thơng tin là khả năng bảo vệ đối với môi trường
thông tin kinh tế xã hội, đảm bảo cho việc hình thành, sử dụng và phát triển vì
lợi ích của mọi cơng dân, mọi tổ chức và của quốc gia. Thơng qua các chính
sách về an tồn thơng tin, lãnh đạo thể hiện ý chí và năng lực của mình trong
việc quản lý hệ thống thơng tin. An tồn thơng tin được xây dựng trên nền tảng
một hệ thống các chính sách, quy tắc, quy trình và các giải pháp kỹ thuật nhằm
mục đích đảm bảo an tồn tài ngun thơng tin mà tổ chức đó sở hữu cũng như
các tài nguyên thông tin của các đối tác, các khách hàng trong một mơi trường
thơng tin tồn cầu. Như vậy, với vị trí quan trọng của mình, có thể khẳng định
vấn đề an tồn thơng tin phải bắt đầu từ các chính sách, trong đó con người là
mắt xích quan trọng nhất.
An tồn nghĩa là thơng tin được bảo vệ, các hệ thống và những dịch vụ có
khả năng chống lại những tai hoạ, lỗi và sự tác động không mong đợi, các thay
đổi tác động đến độ an toàn của hệ thống là nhỏ nhất. Hệ thống có một trong các
đặc điểm sau là khơng an tồn: Các thơng tin dữ liệu trong hệ thống bị người
khơng được quyền truy nhập tìm cách lấy và sử dụng (thơng tin bị rị rỉ). Các
6



thông tin trong hệ thống bị thay thế hoặc sửa đổi làm sai lệch nội dung (thông tin
bị xáo trộn)...
Thông tin chỉ có giá trị cao khi đảm bảo tính chính xác và kịp thời, hệ
thống chỉ có thể cung cấp các thơng tin có giá trị thực sự khi các chức năng của
hệ thống đảm bảo hoạt động đúng đắn. Mục tiêu của an tồn bảo mật trong cơng
nghệ thông tin là đưa ra một số tiêu chuẩn an toàn. Ứng dụng các tiêu chuẩn an
toàn này vào đâu để loại trừ hoặc giảm bớt các nguy hiểm. Do kỹ thuật truyền
nhận và xử lý thông tin ngày càng phát triển đáp ứng các yêu cầu ngày càng cao
nên hệ thống chỉ có thể đạt tới độ an tồn nào đó. Quản lý an tồn và sự rủi ro
được gắn chặt với quản lý chất lượng. Khi đánh giá độ an tồn thơng tin cần
phải dựa trên phân tích các rủi ro, tăng sự an toàn bằng cách giảm tối thiểu rủi
ro. Các đánh giá cần hài hoà với đặc tính, cấu trúc hệ thống và q trình kiểm tra
chất lượng.
Hiện nay các biện pháp tấn công càng ngày càng tinh vi, sự đe doạ tới độ
an tồn thơng tin có thể đến từ nhiều nơi theo nhiều cách chúng ta nên đưa ra
các chính sách và phương pháp đề phịng cần thiết. Mục đích cuối cùng của an
tồn bảo mật là bảo vệ các thông tin và tài nguyên theo các yêu cầu sau:
 Tính tin cậy (Confidentiality): Thông tin không thể bị truy nhập trái phép
bởi những người khơng có thẩm quyền.
 Tính ngun vẹn (Integrity): Thơng tin không thể bị sửa đổi, bị làm giả
bởi những người khơng có thẩm quyền.
 Tính sẵn sàng (Availability): Thơng tin luôn sẵn sàng để đáp ứng sử dụng
cho người có thẩm quyền.
 Tính khơng thể từ chối (Non-repudiation): Thơng tin được cam kết về mặt
pháp luật của người cung cấp
Viện tiêu chuẩn của Anh đã công bố một danh sách gồm 10 điều kiện cần
để kiểm tra việc triển khai các biện pháp an ninh cơ bản của một hệ thống như
sau:

 Tài liệu về chính sách an ninh thông tin.
7


 Việc phân bổ các trách nhiệm về an ninh hệ thống.
 Các chương trình giáo dục và huấn luyện về sự an ninh thông tin.
 Các báo cáo về các biến cố liên quan đến an ninh thông tin.
 Các biện pháp kiểm sốt Virus.
 Tiến trình liên tục lập kế hoạch về kinh doanh.
 Các hình thức kiểm sốt việc sao chép các thơng tin thuộc sở hữu của tổ
chức.
 Việc bảo vệ các hồ sơ về tổ chức.
 Việc tuân thủ pháp luật về bảo vệ dữ liệu.
 Việc tuân thủ chính sách về an ninh hệ thống của tổ chức.
2. Thực trạng vấn đề an toàn thơng tin tại Việt Nam
Tính tới thời điểm này, đã có nhiều lỗ hổng an ninh đã được phát hiện như
lỗ hổng DNS bị coi là siêu nguy hiểm, cho phép hacker kiểm soát lưu lượng dữ
liệu qua lại trên tồn mạng World Wire Web, lỗ hổng trình duyệt web Google
Chrome… Hình thức tấn cơng cũng đã có sự thay đổi. Hacker đã thay đổi từ
hình thức tấn cơng hệ thống thông qua dịch vụ thư điện tử sang tấn công hệ
thống dựa vào dịch vụ web. Hacker đã mở một chiến dịch “tổng tấn công” nhằm
vào mạng Internet với số lượng hơn 1 triệu website. Trong đó có các website nổi
tiếng thế giới như USA Today.com, Walman.com… Số lượng và tầm quan trọng
của các website bị tấn công đang tăng lên từng ngày. Virus và phần mềm độc hại
tiếp tục tăng trưởng.
Trải qua 35 năm đổi mới, hệ thống thơng tin của Việt Nam có sự phát
triển mạnh mẽ, phục vụ đắc lực sự lãnh đạo, quản lý, điều hành của Đảng, Nhà
nước, đáp ứng nhu cầu thông tin của xã hội, góp phần đảm bảo quốc phịng, an
ninh của đất nước. Lĩnh vực viễn thông, Internet, tần số vơ tuyến điện có sự phát
triển mạnh mẽ, đạt được mục tiêu số hóa hồn tồn mạng lưới, phát triển nhiều

dịch vụ mới, phạm vi phục vụ được mở rộng, bước đầu hình thành những doanh
nghiệp mạnh, có khả năng vươn tầm khu vực, quốc tế. Hệ thống bưu chính
chuyển phát, báo chí, xuất bản phát triển nhanh cả về số lượng, chất lượng và kỹ
8


thuật nghiệp vụ, có đóng góp quan trọng cho sự phát triển kinh tế - xã hội; đảm
bảo quốc phòng, an ninh, đối ngoại của đất nước.
Tuy nhiên, tình hình an ninh thông tin ở Việt Nam đã và đang có những
diễn biến phức tạp. Các cơ quan đặc biệt nước ngoài, các thế lực thù địch, phản
động tăng cường hoạt động tình báo, gián điệp, khủng bố, phá hoại hệ thống
thông tin; tán phát thông tin xấu, độc hại nhằm tác động chính trị nội bộ, can
thiệp, hướng lái chính sách, pháp luật của Việt Nam. Gia tăng hoạt động tấn
công mạng nhằm vào hệ thống thông tin quan trọng quốc gia, hệ thống thông tin
quan trọng về an ninh quốc gia. Theo thống kê, trung bình mỗi năm, qua kiểm
tra, kiểm soát các cơ quan chức năng đã phát hiện trên 850.000 tài liệu chiến
tranh tâm lý, phản động, ân xá quốc tế, tài liệu tuyên truyền tà đạo trái phép; gần
750.000 tài liệu tuyên truyền chống Đảng, Nhà nước được tán phát vào Việt
Nam qua đường bưu chính. Từ 2010 đến 2019 đã có 53.744 lượt cổng thơng tin,
trang tin điện tử có tên miền .vn bị tấn cơng, trong đó có 2.393 lượt cổng thơng
tin, trang tin điện tử của các cơ quan Đảng, Nhà nước “.gov.vn”, xuất hiện nhiều
cuộc tấn cơng mang màu sắc chính trị, gây ra những hậu quả nghiêm trọng.
Tội phạm và vi phạm pháp luật trong lĩnh vực thông tin diễn biến phức
tạp, gia tăng về số vụ, thủ đoạn tinh vi, gây thiệt hại nghiêm trọng về nhiều mặt.
Các hành vi phá hoại cơ sở hạ tầng thông tin; gây mất an tồn, hoạt động bình
thường, vững mạnh của mạng máy tính, mạng viễn thơng, phương tiện điện tử
của các cơ quan, tổ chức, cá nhân và hệ thống thông tin vô tuyến điện,… đã và
đang gây ra những thiệt hại lớn về kinh tế, xâm hại trực tiếp đến quyền, lợi ích
hợp pháp của các cơ quan, tổ chức và cá nhân. Theo kết quả đánh giá an ninh
mạng do Tập đồn cơng nghệ Bkav thực hiện, trong năm 2019, chỉ tính riêng

thiệt hại do virus máy tính gây ra đối với người dùng Việt Nam đã lên tới 20.892
tỷ đồng (tương đương 902 triệu USD), hơn 1,8 triệu máy tính bị mất dữ liệu do
sự lan tràn của các loại mã độc mã hóa dữ liệu tống tiền (ransomware), trong đó
có nhiều máy chủ chứa dữ liệu của các cơ quan, gây đình trệ hoạt động của
nhiều cơ quan, doanh nghiệp.
9


Hệ thống thơng tin của Việt Nam cịn tồn tại nhiều điểm yếu, lỗ hổng bảo
mật dễ bị khai thác, tấn cơng, xâm nhập; tình trạng lộ, mất bí mật nhà nước qua
hệ thống thông tin gia tăng đột biến; hiện tượng khai thác, sử dụng trái phép cơ
sở dữ liệu, tài nguyên thông tin quốc gia, dữ liệu cá nhân người dùng diễn biến
phức tạp; xuất hiện nhiều dịch vụ mới, hiện đại gây khó khăn cho cơng tác quản
lý, kiểm soát của các cơ quan chức năng. Từ 2001 đến 2019, các cơ quan chức
năng đã phát hiện hơn 1.100 vụ lộ, mất bí mật nhà nước, trong đó lộ, mất bí mật
nhà nước qua hệ thống thơng tin chiếm tỷ lệ lớn với trên 80% số vụ. Tháng
3/2018, Facebook cũng đã để lộ dữ liệu cá nhân để một nhà phát triển bán lại
cho Công ty Cambridge Analityca, dẫn tới 87 triệu dữ liệu thông tin người dùng
bị lộ, trong đó có 427.466 tài khoản của người dùng Việt Nam.
Con người – khâu yếu nhất trong toàn bộ q trình đảm bảo an tồn thơng
tin. Hầu như phần lớn các phương thức tấn công được hacker sử dụng là khai
thác các điểm yếu của hệ thống thông tin và đa phần các điểm yếu đó rất tiếc lại
do con người tạo ra. Việc nhận thức kém và khơng tn thủ các chính sách về
ATTT là ngun nhân chính gây ra tình trạng trên. Đơn cử là vấn đề sử dụng
mật khẩu đã được quy định rất rõ trong các chính sách về ATTT song việc tuân
thủ các quy định lại không được thực hiện chặt chẽ. Việc đặt một mật khẩu kém
chất lượng, không thay đổi mật khẩu định kỳ, quản lý mật khẩu lỏng lẻo là
những khâu yếu nhất mà hacker có thể lợi dụng để xâm nhập và tấn công.
3. Các dạng tội phạm, hành vi xâm phạm an tồn thơng tin hiện nay.
Những thủ đoạn phạm tội cơng nghệ cao có thể liệt kê như: lừa đảo trên

mạng, trộm cắp địa chỉ thư điện tử, thơng tin thẻ tín dụng và thơng tin cá nhân;
đưa thơng tin thẻ tín dụng đã ăn cắp được lên mạng để mua bán, trao đổi, cho
tặng; thực hiện rửa tiền bằng cách chuyển tiền từ tài khoản trộm cắp được sang
tài khoản tiền ảo như e-gold, e-passport…; lừa đảo trong hoạt động thương mại
điện tử, trong quảng cáo, bán hàng trực tuyến qua mạng, mua bán ngoại tệ, mua
bán cổ phiếu qua mạng; đánh bạc, cá độ bóng đá qua mạng; sử dụng máy tính để
thực hiện hành vi trốn thuế, tham ô; buôn bán ma tuý qua mạng; tổ chức hoạt
động mại dâm qua mạng; truyền bá văn hoá phẩm đồi truỵ qua mạng; thực hiện
10


các hoạt động khủng bố, gây rối qua mạng; xâm phạm an toàn của hệ thống hạ
tầng an ninh quốc gia; lập trạm thu phát tín hiệu trái phép, sử dụng mạng
Internet để chuyển cuộc gọi quốc tế thành cuộc gọi nội hạt…
Đặc điểm nổi bật của loại tội phạm cơng nghệ cao là tính quốc tế. Từ
phương thức, thủ đoạn, phạm vi gây án, đối tượng bị xâm hại tới mục tiêu gây
án hầu như về cơ bản đều giống nhau trên toàn thế giới. Thủ phạm gây án có thể
ngồi một chỗ tấn cơng vào bất kỳ nơi nào trên thế giới mà không cần xuất đầu lộ
diện, chỉ để lại rất ít dấu vết là những dấu vết điện tử và thời gian gây án thường
rất ngắn khiến cơ quan điều tra khó phát hiện, thu thập nhưng lại dễ dàng tiêu
huỷ.
Tội phạm công nghệ cao được chia làm hai nhóm: nhóm tội phạm với
mục tiêu tấn công là các loại thiết bị kỹ thuật số, mạng máy tính và nhóm thứ hai
là tội phạm sử dụng máy tính làm cơng cụ phạm tội.
3.1. Lừa đảo mạng ATM
“ Một khi bọn tội phạm lấy được dữ liệu trên các dải từ tính cùng với số
PIN, chúng hồn tồn có thể tạo ra các thẻ giả , và chính những thẻ này sẽ là
được dùng để rút tiền”. Vấn đề khác đối với các tổ chức là khả năng thực hiện
quản lý rủi ro của họ ít hơn nhiều so với các giao dịch trực tuyến trên ATM. “
Đó là vì máy ATM cung ứng hàng hóa cho khách hàng của mình ngay lập tức,

chính xác như ý muốn của bọn lừa đảo – đó là tiền mặt chứ khơng phải là một
loại vé, giấy có giá mà sau đó phải cất trữ hoặc bán lại.
3.2. Tiếp tục các tấn công dạng Phishing
Thông thường, tin tặc sẽ giả mạo thành ngân hàng, trang web giao dịch
trực tuyến, ví điện tử, các cơng ty thẻ tín dụng để lừa người dùng chia sẻ các
thông tin nhạy cảm như: tài khoản & mật khẩu đăng nhập, mật khẩu giao dịch,
thẻ tín dụng và các thơng tin q giá khác.
Phương thức tấn công này thường được tin tặc thực hiện thông qua email
và tin nhắn. Người dùng khi mở email và click vào đường link giả mạo sẽ được
yêu cầu đăng nhập. Nếu “mắc câu”, tin tặc sẽ có được thơng tin ngay tức khắc.
11


Phương thức phishing được biết đến lần đầu tiên vào năm 1987. Nguồn gốc của
từ Phishing là sự kết hợp của 2 từ: fishing for information (câu thông tin) và
phreaking (trò lừa đảo sử dụng điện thoại của người khác khơng trả phí). Do sự
giống nhau giữa việc “câu cá” và “câu thông tin người dùng”, nên thuật ngữ
Phishing ra đời.
3.3. Tấn công từ chối SQL
Nghiên cứu của Sophos cho hay, số lượng các cuộc tấn công SQL vào các
trang web “vô tội” trong năm qua tăng lên rõ rệt, và năm tới, xu hướng này sẽ
vẫn tiếp diễn. Độ bảo mật kém của các trang web, đặc biệt là khơng có khả năng
phịng chống các cuộc tấn cơng tự động từ xa như tấn công từ chối SQL, sẽ tiếp
tục trở thành nơi đầu tiên để phát tán mã độc.
Báo cáo mới đây của Trung tâm thu nhận tố cáo tội phạm internet cũng
chỉ ra số lượng các cuộc tấn công SQL trong năm qua tăng lên đáng kể, đặc biệt
là liên quan đến các dịch vụ tài chính và ngành công nghiệp bán lẻ trực tuyến.
3.4. Drive-By Attacks Deliver
Các tổ chức cần phải hướng dẫn và cảnh báo khách hàng và nhân viên khi
online phải cẩn trọng với những trang Web giả mạo (look-alikes) và bị nhiễm

độc, Tom Wills, Javelin Strategy Research's Senior Analyst for Security & Fraud
nói. “Các tấn công Drive-by lén lút phân phối Trojans trộm bàn phím
(keylogger) vào các máy tính của khách hàng và trở thành vũ khí trộm danh tính
tự nguyện.” Các máy sẽ bị nhiễm khi người dùng viếng các trang web giả mạo
do bị chuyển tới thông qua phishing emails hoặc như xu hướng đang gia tăng
hiện nay là thông qua các trang web hợp lệ nhưng đã bị hack, ông nhận xét.
Javelin's Wills cũng tiên đốn sẽ có sự gia tăng về số lượng các hackers và tội
phạm “nghiệp dư"(amateur), tìm cách ăn trộm tiền hay thơng tin cá nhân khách
hàng của các tổ chức, chủ yếu do kinh tế suy thối. “ Các tổ chức cần nhận thấy
có sự tăng cường lừa đảo khơng chn. Những „tội phạm có cơ hội‟ sẽ xuất hiện
giữa các khách hàng và nhân viên do ngày càng nhiều người bị tress về tài chính
bởi hậu quả kinh tế suy thối.” Will nhận xét.
12


3.5. Mạng xã hội khơng cịn là mục tiêu mới
Facebook, zalo, tiktok đây là những mạng xã hội đang được rất nhiều
người dùng sử dụng. Với những ứng dụng như nhắn tin, gọi điện miện phí,
mạng xã hội dường như đang thay đế nhiều nhà mạng, trong việc liên lạc và trao
đổi thông tin hàng ngày của đông đảo người dùng.
Dù khi sử dụng những ứng dụng này người dùng phải cung cấp những
thông tin cơ bản từ tên tuổi, địa chỉ, số điện thoại và các mối quan hệ. Thế
nhưng hầu như rất ít người quan tâm tới việc sẽ ra sao nếu những thơng tin riêng
tư của mình bị lộ, hay bị kẻ xấu lợi dụng. Dù những nguy cơ này là có thưc và
có thể đến với bất cứ ai.
Đưa tất cả những thông tin cơ bản về bạn bè, người thân, các điểm đến,
hay sở thích lên mạng xã hội là thói quen của rất nhiều người. Nhưng có thể đây
cũng là con dao hai lưỡi đối với người dùng. Trong khi đó nhiều người dùng còn
rất chủ quan hoặc cả tin ngay trên thế giới ảo.
Năm 2018 có tới 87 triệu người dùng facebook bị rị rỉ thơng tin cá nhân.

Theo giám đốc Giám đốc Công nghệ của Facebook, Việt Nam nằm trong Top 10
quốc gia bị lộ thông tin trên mạng xã hội này nhiều nhất.
Rõ ràng khi sử dụng những ứng dụng này người dùng đã ngay lập tức
phải đối mặt với nguy cơ thông tin riêng tư của cá nhân bị tấn công. Đầu tháng 7
vừa qua vụ lộ tin nhắn các nhân trên mạng xã hội của 1 cầu thủ bóng đá nổi
tiếng đã khiến khơng ít người bất ngờ. Sẽ là quá muộn nếu chúng ta chỉ quan
tâm tới vấn đề này khi có những điều đáng tiếc xảy ra trong đời sống thực.
Tội phạm mạng ngày càng tinh vi và thủ đoạn, qua việc tấn công các tài
khoản cá nhân chúng có thể chiểm đoạt tài sản hoặc cũng có thể tổ chức đe dọa
người dùng, xúi giục tự sát, ảnh hưởng đến tính mạng như ứng dụng Mo mo,
nhân vật Garlindo, trò chơi nguy hiểm cá voi xanh.
Nhận thức rõ những nguy cơ từ việc mất an toàn trong bảo mật thông tin
cá nhân trên mạng xã hội, nhiều quốc gia trên thế giới đã cấm sử dụng các ứng
dụng quen thuộc như tại Ân Độ cấm sử dụng mạng xã hội tik tok, Nhận Bản hạn
chế facebook, Trung Quốc cấm sử dụng face book.
13


Tại Việt Nam, dù chưa có những quyết định cấm hoàn toàn mạng xã hội
tuy nhiên để đảm bảo an toàn người dùng nên chủ động, hạn chế cung cấp
những thông tin riêng tư và liên lạc qua những ứng dụng mạng xã hội.
3.6. Smartphones: trò chơi mới của tin tặc
Trong khi đa số phần mềm hiểm độc và thư rác được phát tán nhằm mục
đích kiếm tiền thì theo phân tích của Sophos, với smartphone, tin tặc chủ yếu
viết phần mềm hiểm độc với mục đích nổi danh.
Apple iPhone theo Sohpos, có 3 lí do khiến người dùng iPhone dễ bị tấn
công phishing hơn so với những ai sử dụng máy tính.
 Người dùng iPhone thường muốn nhấp vào địa chỉ được giới thiệu vì việc
nhập URL trên màn hình cảm ứng thường khó khăn hơn.
 Phiên bản Safari trên iPhone không hiển thị địa chỉ URLs nhúng trong

emails trước khi chúng được nhấp vào, khiến người dùng khó nhận diện
được liệu chúng có dẫn tới các trang lừa đảo hay khơng.
 Trình duyệt trên iPhone khơng hiển thị đầy đủ địa chỉ URL giúp kẻ xấu có
thể lợi dụng để lừa đảo người.
Google Android mặc dù Android trên Google G1 mới ra mắt gần đây và
hiện chưa mắc phải những cuộc tấn công từ tin tặc, nhưng sau chỉ một ngày G1
được bán ra thị trường, giới an ninh đã phát hiện ra một lỗ hổng nghiêm trọng.
Theo dự đốn của Sophos, càng có nhiều người sở hữu smartphone thì dịng
thiết bị này sẽ trở nên hấp dẫn hơn với tin tặc.
4. Cách đối phó
Hiện thế giới coi Việt Nam như một thị trường an tồn, có tiềm năng về
thương mại điện tử và đầu tư. Điều này phụ thuộc rất nhiều vào bức tranh an
ninh mạng Việt Nam. Nếu vấn đề an ninh mạng không được giải quyết kịp thời,
hợp lý, lĩnh vực thương mại điện tử vốn đã non trẻ của Việt Nam có thể sẽ rơi
vào tình trạng trì trệ, trở thành “một rào cản đối với Việt Nam hậu WTO”.
Việc đảm bảo an ninh trật tự trong “thế giới ảo” hiện là một trọng trách
nặng nề của lực lượng cơng an nói chung và cảnh sát phòng chống tội phạm
14


cơng nghệ cao nói riêng trong tình hình mới. Với kinh nghiệm điều tra, lần theo
dấu vết, đã “điểm mặt, chỉ tên” được nhiều vụ án cụ thể, theo Tiễn sĩ Trần Văn
Hồ, việc phát hiện kịp thời, truy tìm dấu vết đối tượng của những vụ án công
nghệ cao thường địi hỏi phải có sự phối hợp đồng bộ giữa các cơ quan điều tra
trong và ngoài nước tránh bị ngắt quãng, mất dấu vết.
Nhìn về xu hướng bảo mật, Việt Nam đã từng có thời điểm được xếp vào
danh sách 1 trong 10 quốc gia có lượng spam email lớn nhất thế giới. Song,
trong số các spam mail được gửi đi từ Việt Nam lại có rất ít các email nội dung
tiếng Việt. Điều này chứng tỏ spam email chủ yếu do các đối tượng, hacker
nước ngoài gửi về Việt Nam.

Tuy nhiên, trong khi hệ thống pháp luật của Việt Nam cịn thiếu và nhiều
kẽ hở, hình thức quảng cáo bằng spam email hay tin nhắn spam vẫn đang là một
giải pháp tiết kiệm chi phí được nhiều doanh nghiệp sử dụng. Đây lại rất có thể
là cơ hội để các hacker nội kiếm tiền bằng cách gửi spam email thuê với quy mô
lớn.
Nếu điều này xảy ra sẽ gây vô vàn thách thức cho các cơ quan chức năng,
các doanh nghiệp cung cấp dịch vụ Internet của Việt Nam và bản thân người
dùng Internet trong nước.
Vì vậy, việc cần làm đầu tiên vẫn là tăng cường các biện pháp quản lý của
nhà nước và cơng tác phịng chống tội phạm cơng nghệ cao. Xây dựng, hồn
thiện và triển khai có hiệu quả hệ thống văn bản pháp luật đồng bộ có liên quan
tới lĩnh vực CNTT như Luật Hình sự, Bộ Luật tốt tụng hình sự, Luật CNTT,
Luật giao dịch điện tử…
Bản thân các doanh nghiệp, tổ chức cá nhân cũng phải có ý thức nâng cao
cảnh giác, tăng cường sử dụng các công cụ kỹ thuật để ngăn chặn, phòng ngừa
bảo vệ các server, website, cơ sở dữ liệu như các thiết bị phần cứng, các phần
mềm chống virus, spyware, spam… Đặc biệt là phải tăng cường công tác điều
tra, truy tố, xét xử các vụ phạm tội cơng nghệ cao để có thể răn đe, phòng ngừa.

15


5. Xây dựng hệ thống bảo đảm an tồn thơng tin
Việc xây dựng một hệ thống bảo đảm an toàn thơng tin khơng chỉ đơn
giản gói gọn vào trách nhiệm của bộ phận CNTT, hệ thống mạng với một số giải
pháp thuần túy kỹ thuật. Một hệ thống thông tin an tồn đúng nghĩa phải gắn kết
và tích hợp chặt chẽ với hoạt động của tồn tổ chức trong đó con người đóng vai
trị quan trọng.
Có nhiều cách thức và quan điểm để thiết lập một hệ thống an toàn thông
tin. Tuy nhiên, thông thường người ta dựa vào các tiêu chuẩn, trong số đó hai

tiêu chuẩn ISO 27001 và ISO/IEC 17799 thường được nhắc đến nhiều nhất, bởi
tính hệ thống, tính thơng dụng và tính quốc tế của chúng.
Khi xây dựng một hệ thống an tồn thơng tin, người ta thường tham khảo
cả hai như là một cặp không thể tách rời. Khi áp dụng, tiêu chuẩn ISO 27001
mang tính bắt buộc, quy định các yêu cầu của một hệ thống an tồn thơng tin,
trong khi chuẩn ISO/IEC 17799 cung cấp các kinh nghiệm để có thể thiết kế một
hệ thống cụ thể, mang tính tham khảo và khơng bắt buộc.

Sơ đồ 1
Về cơ bản, một hệ thống an tồn thơng tin phải được xây dựng tích hợp
chặt chẽ vào hệ thống vận hành của một tổ chức, có cấu trúc chặt chẽ, gồm
16


nhiều tác vụ liên thông và hỗ trợ lẫn nhau. Một hệ thống theo chuẩn ISO/IEC
17799 nhất thiết phải bao gồm các nhóm u cầu và tác vụ được trình bày ở sơ
đồ 1.
Để phát huy hiệu quả tốt, theo kinh nghiệm, việc xây dựng hệ thống an
tồn thơng tin nên căn cứ vào nhu cầu và đặc điểm của từng tổ chức. Một hệ
thống an tồn có hiệu quả ở tổ chức này, hồn tồn khơng chắc là phù hợp với tổ
chức khác, thậm chí có hoạt động cùng lĩnh vực.
Việc áp dụng chuẩn và sử dụng chuyên gia tư vấn cũng chỉ nhằm xây
dựng các phương pháp bảo đảm an tồn thơng tin mang tính hệ thống, tránh
thiếu sót, thừa hưởng các kinh nghiệm đã đúc kết, chúng khơng thể thay thế cho
vai trị quyết định của bản thân doanh nghiệp.

Sơ đồ 2
Thơng thường, q trình thiết lập, vận hành và chứng nhận hệ thống an
tồn thơng tin theo tiêu chuẩn ISO 27001 bao gồm các bước cơ bản được trình
bày ở bảng 2, trong đó chi tiết các bước sẽ rất khác nhau, tùy theo từng tổ chức.

Sơ đồ 2 minh họa các bước chính cùng khung thời gian, ràng buộc về thời gian
giữa các bước trong toàn bộ kế hoạch xây dựng, áp dụng và đánh giá hệ thống
an tồn thơng tin. Các bước và khung thời gian chỉ có tính minh họa, thực tế
chúng khác biệt và phụ thuộc vào mục tiêu, cách thức và kế hoạch của từng tổ
chức.
Nhóm tác vụ
Chính sách

Mơ tả và ý nghĩa
Các chính sách ở các cấp độ khác nhau (cơng ty, phịng, ban)
về an tồn thơng, các quy trình, quy định, hướng dẫn thực
17


Tổ chức và

hiện, báo cáo, xử lý sự cố, kỷ luật…
Quy định trách nhiệm của các bộ phận và cách thức thực hiện

thực hiện
Kiểm sốt tài

các cơng việc về an tồn thơng tin của tổ chức.
Phân loại tài sản và rủi ro có thể xảy ra để định nghĩa các u

sản
Kiểm sốt

cầu về an tồn thơng tin một cách phù hợp.
Kiểm soát việc truy xuất hoặc truy cập đến các tài sản hoặc


việc truy cập

đối tượng chứa thông tin, hoặc có khả năng gây rỏ rỉ thơng

An tồn về

tin.
Chú trọng bảo đảm an tồn thơng tin về mặt con người, huấn

con người

luyện và quy định vai trò, nghĩa vụ của từng người trong tổ

An tồn về

chức về an tồn thơng tin.
Các khía cạnh an tồn thơng tin liên quan đến môi trường vật

vật chất và

chất, chẳng hạn chống cháy nổ, khu vực cách ly người lạ,

môi trường
Phát triển và

chống nghe lén…
An tồn thơng tin được tích hợp vào tồn bộ các quá trình

bảo trì hệ


phát triển, nâng cấp, sửa chữa, bảo trì tồn bộ các thành phần

thống
Quản lý các

của hệ thống.
Tích hợp các mức bảo đảm an tồn thơng tin vào các quy

hoạt động và

trình nghiệp vụ. Quy định rõ trách nhiệm trong tồn bộ các

truyền thơng

hoạt động hằng ngày, trao đổi thơng tin giữa nội bộ và giữa

Kiểm sốt sự

nội bộ với bên ngoài.
Bao gồm các phương án bảo đảm các quá trình hoạt động và

cố

kinh doanh của tổ chức được tiếp diễn bình thường khi có tình

Tn thủ quy

huống (xấu) khẩn cấp xảy ra.
Bảo đảm cho hệ thống an tồn thơng tin và các quy định của


định của pháp tổ chức phù hợp với luật pháp, không mâu thuẫn với các tiêu
luật

chuẩn khác trong tổ chức.
Bảng 1

Các bước

Mô tả

chính
1. Phân tích

Phân tích hoạt động của tổ chức so với các yêu cầu của tiêu

hiện trạng

chuẩn, chỉ định các rủi ro và các biện pháp để khắc phục hoặc
18


hạn chế rủi ro
2. Huấn luyện Huấn luyện về nhận thức và kỹ thuật, bảo đảm cho nhân viên
các cấp có đủ kiến thức và kỹ năng để thiết lập và vận hành
3. Thiết lập

tồn hệ thống.
Thiết lập các chính sách, thủ tục, phương pháp và cơng cụ hỗ


các chính

trợ nhằm định nghĩa và tích hợp hệ thống an tồn thơng tin

sách và quy

vào hoạt động của tổ chức.

trình
4. Xem xét và Các chuyên gia, lãnh đạo xem xét, điều chỉnh và phê duyệt
phê chuẩn các các chính sách, quy trình, phương pháp, cơng cụ để chính
quy trình
5. Áp dụng

thức áp dụng
Chính thức áp dụng các chính sách, quy trình và phương

quy trình

pháp, cơng cụ đã được phê duyệt, áp dụng thử hoặc áp dụng

6. Kiểm soát

đại trà.
Các chuyên gia kiểm soát nội bộ kiểm soát việc tuân thủ. Các

việc thực thi

vi phạm và các điểm bất hợp lý được báo cáo với lãnh đạo.


và xem xét

Lãnh đạo xem xét tồn diện hệ thống an tồn thơng tin, khảo

của lãnh đạo

sát tính hiệu quả của hệ thống, giải quyết khó khăn, chỉ định

7. Hoạt động

các điểm cải tiến.
Sửa các lỗi khơng tương thích được phát hiện trong q trình

sửa lỗi
8. Đánh giá

kiểm soát, bảo đảm lỗi đã xảy ra sẽ không tái xuất hiện
Bảo đảm tổ chức đã sẵn sàng cho việc đánh giá chính thức.

thử

Nếu lỗi quá nhiều, việc đánh giá chính thức sẽ được lùi một

thời gian thích hợp.
9. Cải tiến các Điều chỉnh các chính sách, thủ tục, phương pháp và cơng cụ
quy trình

hỗ trợ cho phù hợp hơn sau khi đánh giá thử, bảo đảm mọi

10. Đánh giá


thứ sẵn sàng.
Đánh giá toàn diện hệ thống theo tiêu chuẩn, chứng nhận tổ

và chứng

chức đạt chuẩn nếu không tồn tại các điểm khơng tương thích

nhận

chính yếu.
Bảng 2

6. Chính sách, quy định đảm bảo an tồn thơng tin
Chính sách an tồn thơng tin (Information security policy)
19


Mục tiêu: Đưa ra sự hỗ trợ và định hướng cho vấn đề an tồn thơng tin.
Vấn đề quản lý các chính sách định hướng rõ ràng và chứng tỏ khả năng hỗ trợ,
các cam kết về an tồn thơng tin thơng qua việc đưa ra và duy trì các chính sách
về an tồn thơng tin đối với một tổ chức.
Tài liệu chính sách an tồn thơng tin cần được phê chuẩn bởi nhà quản lý
và cung cấp phổ biến cho mọi nhân viên, thêm vào đó là cách tiếp cận của tổ
chức đối với vấn đề an tồn thơng tin.Tối thiểu là bao gồm:
 Định nghĩa về an toàn thông tin, mục tiêu và tầm quan trọng của an tồn
khi thiết lập cơ chế cho việc chia sẻ thơng tin (tham chiếu phần giới thiệu)
 Đưa ra mục tiêu của sự quản lý, hỗ trợ mục đích và nguyên lý của an tồn
thơng tin.
 Bản tóm tắt về các chính sách an tồn thơng tin, các chuẩn cũng như các

u cầu có tính chất quan trọng cho một tổ chức, ví dụ như:
o đúng theo luật pháp và các yêu cầu hợp đồng
o các yêu cầu về kiến thức an toàn
o ngăn chặn và nhận dạng virus và các phần mềm hiểm độc khác;
o quản lý tính liên tục trong kinh doanh;
o các hậu quả của sự vi phạm các chính sách an tồn thơng tin
 Định nghĩa chung và các trách nhiệm cụ thể cho vấn đề quản lý an tồn
thơng tin bao gồm các báo cáo về các vấn đề an tồn nói chung.
 Tham chiếu các tài liệu có thể hỗ trợ các chính sách, như các chính sách
về an tồn thơng tin và các thủ tục cho các hệ thống thông tin cụ thể hoặc
các quy tắc an tồn cho người dùng.
Các chính sách này cần được phổ biến cho các tổ chức cũng như người dùng
có liên quan.
Xây dựng một chính sách bảo mật hệ thống:
 Xác định đối tượng cần bảo vệ
o Các điểm truy nhập
o Khơng kiểm sốt được cấu hình hệ thống
20


o Những bug phần mềm sử dụng
o Những nguy cơ trong nội bộ mạng
 Xác định nguy cơ đối với hệ thống
o Tính đúng đắn
o Tính thân thiện
o Tính hiệu quả
 Xác định phương án thực thi chính sách bảo mật
 Triển khai chính sách bảo mật bằng cách đào tạo người sử dụng và xây
dựng thiết bị
 Thiết lập các thủ tục bảo vệ hệ thống

o Thủ tục quản lý tài khoản người sử dụng
o Thủ tục quản lý mật khẩu
o Thủ tục quản lý cấu hình hệ thống
o Thủ tục sao lưu và khôi phục dữ liệu
o Thủ tục báo cáo sự cố
CHƯƠNG II: BỘ LUẬT THỰC THI VỀ QUẢN LÝ AN TỒN THƠNG
TIN ISO/IEC 27002:2005
1. Phạm vi
Tiêu chuẩn này thiết lập các hướng dẫn và nguyên tắc chung để bắt đầu,
thực hiện, duy trì và cải thiện quản lý an tồn thơng tin trong một tổ chức. Các
mục tiêu nêu trong tiêu chuẩn này cung cấp hướng dẫn chung về các mục tiêu
thường được chấp nhận của quản lý an tồn thơng tin.
Các mục tiêu kiểm sốt và các biện pháp kiểm soát của tiêu chuẩn này nhằm
thực hiện đáp ứng các yêu cầu được xác định bởi đánh giá rủi ro. Tiêu chuẩn này
có thể đóng vai trò là hướng dẫn thực tế để phát triển các tiêu chuẩn an ninh tổ
chức và quản lý an ninh hiệu quả thực hành và giúp xây dựng lòng tin trong các
hoạt động liên tổ chức.

21


2. Điều khoản và định nghĩa
Đối với mục đích của tài liệu này, các thuật ngữ và định nghĩa sau được áp dụng:
 Tài sản: bất cứ thứ gì có giá trị đối với tổ chức
 Điều khiển: các phương tiện quản lý rủi ro, bao gồm các chính sách, thủ
tục, hướng dẫn, thực hành hoặc tổ chức cấu trúc, có thể mang tính chất
hành chính, kỹ thuật, quản lý hoặc pháp lý.
 Hướng dẫn: mô tả làm rõ những gì nên làm và làm thế nào, để đạt được
các mục tiêu đề ra trong các chính sách
 Cơ sở xử lý thông tin: bất kỳ hệ thống xử lý thông tin, dịch vụ hoặc cơ sở

hạ tầng hoặc các vị trí thực tế chứa chúng
 An tồn thơng tin: bảo tồn tính bí mật, tính tồn vẹn và tính sẵn có của
thơng tin; ngồi ra, các tài sản khác, chẳng hạn như tính xác thực, trách
nhiệm giải trình, khơng từ chối và độ tin cậy cũng có thể liên quan.
 Sự kiện: một sự kiện an tồn thơng tin là một sự kiện đã được xác định
của một hệ thống, dịch vụ hoặc trạng thái mạng cho thấy có thể vi phạm
chính sách an tồn thơng tin hoặc khơng thực hiện các biện pháp bảo vệ,
hoặc trước đó tình huống khơng xác định có thể liên quan đến an ninh
 Sự cố: một sự cố an tồn thơng tin được chỉ ra bởi một hoặc một loạt các
sự cố không mong muốn hoặc không mong muốn các sự kiện an tồn
thơng tin có khả năng ảnh hưởng đáng kể đến hoạt động kinh doanh và đe
dọa an ninh thông tin
 Chính sách: ý định và phương hướng tổng thể được ban lãnh đạo thể hiện
chính thức
 Rủi ro: sự kết hợp giữa suất xác định của một sự kiện và kết quả của nó
 Bên thứ 3: cá nhân hoặc cơ quan được công nhận là độc lập với các bên
liên quan
 Mối đe dọa: nguyên nhân tiềm ẩn của sự cố khơng mong muốn, có thể
dẫn đến tổn hại cho hệ thống hoặc tổ chức
 Lỗ hổng: điểm yếu của một tài sản hoặc một nhóm tài sản có thể bị khai
thác bởi một hoặc nhiều mối đe dọa
3. Cấu trúc của tiêu chuẩn

22


Tiêu chuẩn này bao gồm 11 điều khoản kiểm soát an ninh chung chứa tổng cộng
39 hạng mục bảo mật chính và một điều khoản mở đầu giới thiệu việc đánh giá
và xử lý rủi ro.
3.1. Điều khoản

Mỗi điều khoản chứa một số loại bảo mật chính. Mười một điều khoản (kèm
theo số lượng các loại bảo mật chính được bao gồm trong mỗi điều khoản) là:












Chính sách An tồn (1);
Tổ chức An tồn thơng tin (2);
Quản lý tài sản (2);
Bảo mật nguồn nhân sự (3);
Bảo mật Vật lý và Môi trường (2);
Quản lý Hoạt động và Truyền thông (10);
Kiểm sốt truy cập (7);
Phát triển và Bảo trì Hệ thống Thơng tin (6);
Quản lý Sự cố An tồn Thơng tin (2);
Quản lý liên tục kinh doanh (1);
Tuân thủ (3).

3.2. Các hạng mục bảo mật chính
Mỗi danh mục bảo mật chính bao gồm:
 Mục tiêu kiểm sốt nêu rõ những gì cần đạt được; và
 Một hoặc nhiều biện pháp kiểm sốt có thể được áp dụng để đạt được mục

tiêu kiểm sốt.
Mơ tả kiểm sốt được cấu trúc như sau:
Kiểm soát:
Xác định tuyên bố kiểm soát cụ thể để đáp ứng mục tiêu kiểm sốt.
Hướng dẫn thực hiện:
Cung cấp thơng tin chi tiết hơn để hỗ trợ việc thực hiện kiểm soát và đáp
ứng mục tiêu kiểm soát. Một số hướng dẫn này có thể khơng phù hợp trong mọi
trường hợp và do đó các cách thực hiện kiểm sốt khác có thể phù hợp hơn.
Thơng tin khác:
23


Cung cấp thêm thơng tin có thể cần được xem xét, ví dụ như cân nhắc
pháp lý và tham chiếu đến các tiêu chuẩn khác.
4. Đánh giá và xử lý rủi ro bảo mật
4.1. Đánh giá rủi ro
Đánh giá rủi ro cần xác định, định lượng và ưu tiên các rủi ro dựa trên các
tiêu chí để chấp nhận rủi ro và các mục tiêu liên quan đến tổ chức. Kết quả phải
hướng dẫn và xác định hành động quản lý thích hợp và các ưu tiên để quản lý
rủi ro an tồn thơng tin và thực hiện các biện pháp kiểm soát được lựa chọn để
bảo vệ khỏi những rủi ro này. Quá trình đánh giá rủi ro và lựa chọn các biện
pháp kiểm sốt có thể cần được thực hiện nhiều lần để bao gồm các bộ phận
khác nhau của hệ thống thông tin của tổ chức hoặc cá nhân.
Đánh giá rủi ro cần bao gồm cách tiếp cận có hệ thống để ước tính mức độ
rủi ro (phân tích rủi ro) và q trình so sánh rủi ro ước tính với các tiêu chí rủi ro
để xác định mức độ quan trọng của rủi ro (đánh giá rủi ro).
Đánh giá rủi ro cũng nên được thực hiện định kỳ để giải quyết những thay
đổi trong các yêu cầu bảo mật và trong tình huống rủi ro, ví dụ: về tài sản, các
mối đe dọa, lỗ hổng, tác động, đánh giá rủi ro và khi những thay đổi quan trọng
xảy ra. Các đánh giá rủi ro này cần được thực hiện một cách có phương pháp có

khả năng tạo ra các kết quả có thể so sánh và tái lập được.
Đánh giá rủi ro an tồn thơng tin cần có phạm vi được xác định rõ ràng để
có hiệu quả và phải bao gồm các mối quan hệ với các đánh giá rủi ro trong các
lĩnh vực khác, nếu thích hợp.
Phạm vi đánh giá rủi ro có thể là toàn bộ tổ chức, các bộ phận của tổ
chức, một hệ thống thông tin riêng lẻ, các thành phần hệ thống cụ thể hoặc các
dịch vụ khi điều này là khả thi, thực tế và hữu ích.
Ví dụ về các phương pháp luận đánh giá rủi ro được thảo luận trong ISO / IEC
TR 13335-3.
4.2. Xử lý rủi ro
Trước khi xem xét việc xử lý rủi ro, tổ chức cần quyết định các tiêu chí để
xác định xem rủi ro có thể được chấp nhận hay khơng. Rủi ro có thể được chấp
24


nhận nếu, ví dụ, người ta đánh giá rằng rủi ro thấp hoặc chi phí điều trị khơng
hiệu quả đối với sự sắp xếp. Các quyết định như vậy cần được ghi lại
Đối với mỗi rủi ro được xác định sau khi đánh giá rủi ro, cần phải đưa ra quyết
định xử lý rủi ro. Các lựa chọn có thể có để xử lý rủi ro bao gồm:
 Áp dụng các biện pháp kiểm sốt thích hợp để giảm rủi ro.
 Chấp nhận rủi ro một cách có chủ ý và khách quan, với điều kiện chúng
đáp ứng rõ ràng chính sách và tiêu chí chấp nhận rủi ro của tổ chức.
 Tránh rủi ro bằng cách không cho phép các hành động có thể khiến rủi ro
xảy ra.
 Chuyển các rủi ro liên quan cho các bên khác, ví dụ: nhà bảo hiểm hoặc
nhà cung cấp.
Đối với những rủi ro mà quyết định xử lý rủi ro đã được áp dụng các biện
pháp kiểm sốt thích hợp, các biện pháp kiểm soát này cần được lựa chọn và
thực hiện để đáp ứng các yêu cầu được xác định bởi đánh giá rủi ro. Các biện
pháp kiểm soát phải đảm bảo rằng rủi ro được giảm thiểu đến mức có thể chấp

nhận được có tính đến:





Các u cầu và ràng buộc của luật pháp và quy định quốc gia và quốc tế.
Mục tiêu của tổ chức
Các yêu cầu và ràng buộc hoạt động
Chi phí thực hiện và vận hành liên quan đến việc giảm thiểu rủi ro và vẫn

tương ứng với các yêu cầu và ràng buộc của tổ chức
 Nhu cầu cân bằng giữa đầu tư vào việc thực hiện và vận hành các biện
pháp kiểm soát chống lại tác hại có thể xảy ra do các lỗi bảo mật.
Các biện pháp kiểm sốt có thể được chọn từ tiêu chuẩn này hoặc từ các
bộ kiểm soát khác, hoặc các biện pháp kiểm sốt mới có thể được thiết kế để đáp
ứng các nhu cầu cụ thể của tổ chức. Cần phải thừa nhận rằng một số biện pháp
kiểm sốt có thể khơng áp dụng được cho mọi hệ thống thơng tin hoặc mơi
trường và có thể khơng khả thi đối với mọi tổ chức. Ví dụ, 10.1.3 mơ tả cách
thức các nhiệm vụ có thể được tách biệt để ngăn ngừa gian lận và sai sót. Các tổ
chức nhỏ hơn có thể khơng tách biệt tất cả các nhiệm vụ và các cách khác để đạt
được cùng một mục tiêu kiểm sốt có thể là cần thiết. Như một ví dụ khác, 10.10
mơ tả cách thức sử dụng hệ thống có thể được giám sát và thu thập bằng chứng.
25