TRƯỜNG ĐẠI HỌC THƯƠNG MẠI
KHOA HTTTKT & TMĐT

BÁO CÁO

THẢO LUẬN

An toàn và bảo mật

thông tin

Đề tài: Trình bày về
Hệ thống quản trị an
toàn (ISMS) của doanh nghiệp và cho ví dụ minh họa
Lớp HP: 1920eCIT0921
Thành viên nhóm: Nguyễn Lưu Hà Linh
Trần Hải Yến

Hà Nội, 2019

Mục Lục


LỜI MỞ ĐẦU
Thông tin là một tài sản, giống như các tài sản nghiệp vụ quan trọng khác, thông tin có giá trị với
doanh nghiệp và do đó luôn cần được bảo vệ. Rủi ro liên quan đến tài sản thông tin của một tổ
chức cần phải được giải quyết và để đạt được an toàn thông tin đòi hỏi phải quản lý rủi ro, bao
gồm rủi ro từ các mối đe dọa liên quan đến vật lý, con người và công nghệ đối với tất cả các hình
thức thông tin trong tổ chức hoặc được sử dung bởi tổ chức. Việc áp dụng một hệ thống ISMS là
một quyết định chiến lược cho một tổ chức và điều cần thiết là quyết định này được tích hợp
nhuần nhuyễn, có mở rộng và cập nhật phù hợp với nhu cầu của tổ chức.

1. Các khái niệm
1.1. Hệ thống quản lý
Hệ thống quản lý là “Tập hợp các yếu tố có liên quan hoặc tương tác lẫn nhau của tổ
chức để thiết lập chính sách, mục tiêu và các quá trình để đạt được các mục tiêu đó.
Một hệ thống quản lý có thể giải quyết một hay nhiều lĩnh vực, ví dụ quản lý chất lượng;
quản lý tài chính hoặc quản lý môi trường.
Các yếu tố của hệ thống quản lý chất lượng thiết lập cơ cấu, vai trò và trách nhiệm, việc
hoạch định, vận hành, chính sách, thực hành, quy tắc, niềm tin, mục tiêu của tổ chức và
các quá trình để đạt được những mục tiêu đó.
Phạm vi của hệ thống quản lý có thể bao gồm toàn bộ tổ chức, các chức năng cụ thể được
nhận biết trong tổ chức, các bộ phận cụ thể được nhận biết của tổ chức, hoặc một hay
nhiều chức năng xuyên suốt một nhóm tổ chức.
(TCVN-ISO-9000-2015)
1.2. An toàn thông tin
Mọi sự kiện đã được xác định trong một hệ thống, dịch vụ hay trạng thái mạng chỉ ra khả
năng vi phạm chính sách an toàn thông tin, sự thất bại của hệ thống bảo vệ, hoặc một vấn
đề chưa biết gây ảnh hưởng đến an toàn thông tin.
(TCVN ISO/IEC 27001:2009)


1.3. Hệ thống quản lý an toàn thông tin (Information Security Management System ISMS)
Hệ thống quản lý an toàn thông tin là một phần của hệ thống quản lý toàn diện, dựa trên
các rủi ro có thể xuất hiện trong hoạt động của tổ chức để thiết lập, triển khai, điều hành,
giám sát, soát xét, duy trì và cải tiến an toàn thông tin.
CHÚ THÍCH: Hệ thống quản lý toàn diện bao gồm cơ cấu, chính sách, kế hoạch hoạt
động, trách nhiệm, quy định, thủ tục, quy trình và tài nguyên của tổ chức.
(TCVN ISO/IEC 27001:2009)
2. Thiết lập và quản lý hệ thống ISMS
2.1. Thiết lập hệ thống ISMS

Để thiết lập hệ thống ISMS, tổ chức cần thực hiện như sau:
a) Xác định phạm vi và các giới hạn của hệ thống ISMS theo đặc thù công việc, tổ chức,
địa điểm, tài sản và công nghệ. Khi loại trừ các biện pháp quản lý khỏi phạm vi áp dụng
cần phải đưa ra lý do và các thông tin chi tiết.
b) Xây dựng và hoạch định chính sách ISMS theo đặc thù công việc, tổ chức, địa điểm,
tài sản và công nghệ. Chính sách này:
1) bao gồm khuôn khổ để xây dựng các mục tiêu và thiết lập một định hướng và nguyên
tắc chung cho các hành động đảm bảo an toàn thông tin;
2) tuân thủ quy định pháp lý, các yêu cầu nghiệp vụ và cam kết về an toàn thông tin đã
có;
3) thiết lập và duy trì hệ thống ISMS như một phần trong chiến lược quản lý rủi ro chung
của tổ chức;
4) thiết lập tiêu chí xác định các rủi ro sẽ được ước lượng;
5) cần phải được ban quản lý phê duyệt
CHÚ THÍCH: trong tiêu chuẩn này, chính sách ISMS được xem xét như là một danh mục
đầy đủ các chính sách an toàn thông tin. Các chính sách này có thể được mô tả trong
cùng một tài liệu.
c) Xác định phương pháp tiếp cận đánh giá rủi ro của tổ chức.


1) Xác định hệ phương pháp đánh giá rủi ro phù hợp với hệ thống ISMS và các quy định,
luật pháp, yêu cầu và cam kết đã có cần phải tuân thủ.
2) Xây dựng các tiêu chí cho việc chấp nhận rủi ro và vạch rõ các mức rủi ro có thể chấp
nhận được.
Hệ phương pháp đánh giá rủi ro được lựa chọn phải đảm bảo các đánh giá rủi ro đưa ra
các kết quả có thể so sánh và tái tạo được.
CHÚ THÍCH: Có nhiều hệ phương pháp đánh giá rủi ro khác nhau. Ví dụ về các hệ
phương pháp đánh giá rủi ro được nêu ra trong tài liệu ISO/IEC TR 13335-3
“Information technology - Guidelines for the management of IT Security - Techniques for
the management of IT Security ".

d) Xác định các rủi ro.
1) Xác định tất cả các tài sản trong phạm vi hệ thống ISMS và đối tượng quản lý các tài
sản này.
2) Xác định các mối đe doạ đối với tài sản.
3) Xác định các điểm yếu có thể bị khai thác bởi các mối đe doạ trên.
4) Xác định các tác động làm mất tính chất bí mật, toàn vẹn và sẵn sàng của tài sản.
e) Phân tích và ước lượng các rủi ro.
1) Đánh giá các ảnh hưởng tới hoạt động của tổ chức có thể gây ra do sự cố về an toàn
thông tin, chú ý đến các hậu quả của việc mất tính bảo mật, toàn vẹn hay sẵn sàng của các
tài sản.
2) Đánh giá các khả năng thực tế có thể xảy ra sự cố an toàn thông tin bắt nguồn từ các
mối đe dọa và điểm yếu đã dự đoán. Đồng thời đánh giá các tác động tới tài sản và các
biện pháp bảo vệ đang thực hiện.
3) Ước đoán các mức độ của rủi ro.
4) Xác định rủi ro là chấp nhận được hay phải có biện pháp xử lý dựa trên các tiêu chí
chấp nhận rủi ro đã được thiết lập trong 4.2.1 .c)2.
f) Xác định và đánh giá các lựa chọn cho việc xử lý rủi ro.
Các hành động có thể thực hiện bao gồm:


1) áp dụng các biện pháp quản lý thích hợp;
2) chấp nhận rủi ro với điều kiện chúng hoàn toàn thỏa mãn các chính sách và tiêu chí
chấp nhận rủi ro của tổ chức;
3) tránh các rủi ro;
4) chuyển giao các rủi ro các bên tham gia khác, như bảo hiểm, nhà cung cấp...
g) Lựa chọn các mục tiêu quản lý và biện pháp quản lý để xử lý các rủi ro.
Các mục tiêu quản lý và biện pháp quản lý phải được lựa chọn và thực hiện để đáp ứng
các yêu cầu được xác định bởi quá trình đánh giá rủi ro và xử lý rủi ro. Việc lựa chọn này
phải xem xét đến tiêu chí chấp nhận rủi ro cũng như các yêu cầu về pháp lý, quy định và
cam kết phải tuân thủ.

h) Trình ban quản lý phê chuẩn các rủi ro tồn đọng đã đề xuất.
i) Trình ban quản lý cho phép triển khai và vận hành hệ thống ISMS.
j) Chuẩn bị thông báo áp dụng.
Thông báo áp dụng hệ thống ISMS bao gồm:
1) các mục tiêu quản lý và biện pháp quản lý đã được lựa chọn và lý do cho các lựa chọn
này;
2) các mục tiêu quản lý và biện pháp quản lý đang được thực hiện;
3) các mục tiêu quản lý và biện pháp quản lý đã loại trừ và giải trình cho việc loại trừ
này;
2.2. Triển khai và điều hành hệ thống ISMS
Quá trình triển khai và điều hành hệ thống ISMS cần thực hiện như sau:
a) Lập kế hoạch xử lý rủi ro trong đó xác định các hành động quản lý thích hợp, các tài
nguyên, các trách nhiệm và mức độ ưu tiên quản lý các rủi ro an toàn thông tin.
b) Triển khai kế hoạch xử lý rủi ro nhằm đạt được mục tiêu quản lý đã xác định trong đó
bao gồm cả việc xem xét kinh phí đầu tư cũng như phân bổ các vai trò, trách nhiệm.
c) Triển khai các biện pháp quản lý được lựa chọn trong để đáp ứng các mục tiêu quản lý.


đ) Xác định cách đánh giá hiệu lực của các biện pháp quản lý hoặc nhóm các biện pháp
quản lý đã lựa chọn và chỉ ra các phương pháp đánh giá này sẽ được sử dụng như thế nào
trong việc đánh giá hiệu lực của các biện pháp quản lý nhằm tạo ra những kết quả có thể
so sánh được và tái tạo được.
CHÚ THÍCH: Việc đánh giá hiệu lực của các biện pháp quản lý đã lựa chọn cho phép
người quản lý và nhân viên xác định các biện pháp quản lý đã đạt được mục tiêu quản lý
theo kế hoạch như thế nào.
e) Triển khai các chương trình đào tạo nâng cao nhận thức.
f) Quản lý hoạt động của hệ thống ISMS.
g) Quản lý các tài nguyên dành cho hệ thống ISMS.
h) Triển khai các thủ tục và các biện pháp quản lý khác có khả năng nhanh chóng phát
hiện các sự kiện an toàn thông tin và phản ứng với các sự cố an toàn thông tin.



2.3. Giám sát và soát xét hệ thống ISMS
Tổ chức thực hiện các hành động sau đây:
a) Tiến hành giám sát, soát xét các thủ tục và các biện pháp quản lý khác nhằm:
1) nhanh chóng phát hiện ra các lỗi trong kết quả xử lý;
2) nhanh chóng xác định các tấn công, lỗ hổng và sự cố an toàn thông tin;
3) cho phép ban quản lý xác định các hoạt động an toàn thông tin giao cho người hoặc
thực hiện bằng công nghệ thông tin đã được thực hiện như mong muốn;
4) hỗ trợ phát hiện các sự kiện an toàn thông tin và do đó ngăn chặn sớm các sự cố an
toàn thông tin bằng cách sử dụng các dấu hiệu cần thiết;
5) xác định hiệu lực của các hành động xử lý vi phạm an toàn thông tin đã thực hiện.
b) Thường xuyên soát xét hiệu lực của hệ thống ISMS (bao gồm việc đáp ứng các chính
sách và mục tiêu quản lý của ISMS, và soát xét việc thực hiện các biện pháp quản lý an
toàn thông tin) trong đó xem xét đến các kết quả kiểm toán an toàn thông tin, các sự cố
đã xảy ra, các kết quả đánh giá hiệu lực, các đề xuất và thông tin phản hồi thu thập được
từ các bên liên quan.
c) Đánh giá hiệu lực của các biện pháp quản lý để xác minh các yêu cầu về an toàn thông
tin đã được đáp ứng.
d) Soát xét các đánh giá rủi ro đã tiến hành theo kế hoạch và soát xét các rủi ro tồn đọng
cũng như mức độ rủi ro có thể chấp nhận được. Trong đó lưu ý các thay đổi trong:
1) tổ chức;
2) công nghệ;
3) mục tiêu và các quá trình nghiệp vụ;
4) các mối đe dọa an toàn thông tin đã xác định;
5) hiệu lực của các biện pháp quản lý đã thực hiện;
6) các sự kiện bên ngoài, như thay đổi trong môi trường pháp lý hay quy định, thay đổi
trong các nghĩa vụ hợp đồng, thay đổi về hoàn cảnh xã hội.
e) Thực hiện việc kiểm toán nội bộ hệ thống ISMS một cách định kỳ.



CHÚ THÍCH: Kiểm toán nội bộ đôi khi còn được gọi là kiểm toán của bên thứ nhất và
được thực hiện bởi chính tổ chức hoặc đại diện của tổ chức.
f) Thực hiện soát xét của ban quản lý đối với hệ thống ISMS một cách thường xuyên để
đảm bảo phạm vi đặt ra vẫn phù hợp và xác định các cải tiến cần thiết cho hệ thống
ISMS.
g) Cập nhật kế hoạch bảo đảm an toàn thông tin theo sát thay đổi của tình hình thực tế thu
được qua các hoạt động giám sát và đánh giá.
h) Ghi chép, lập tài liệu về các hành động và sự kiện có khả năng ảnh hưởng đến hiệu lực
hoặc hiệu suất của hệ thống ISMS.
2.4. Duy trì và cải tiến hệ thống ISMS
Tổ chức cần thường xuyên thực hiện:
a) Triển khai các cải tiến đã được xác định cho hệ thống ISMS.
b) Tiến hành các hành động khắc phục và phòng ngừa thích hợp. Vận dụng kinh nghiệm
đã có cũng như tham khảo từ các tổ chức khác.
c) Thông báo và thống nhất với các bên liên quan về các hành động và cải tiến của hệ
thống ISMS.
d) Đảm bảo việc cải tiến phải đạt được các mục tiêu đã đặt ra.
(TCVN ISO/IEC 27001:2009)
3. Lợi ích triển khai áp dụng ISMS
- Đảm bảo ATTT của tổ chức, đối tác và khách hàng, giúp cho hoạt động của tổ chức luôn
thông suốt và an toàn.
- Giúp nhân viên tuân thủ việc đảm bảo ATTT trong hoạt động nghiệp vụ thường ngày;
Các sự cố ATTT do người dùng dây ra sẽ được hạn chế tối đa khi nhân viên được đào tạo,
nâng cao nhận thức ATTT.
- Giúp hoạt động đảm bảo ATTT luôn được duy trì và cải tiến. Các biện pháp kỹ thuật và
chính sách tuân thủ được xem xét, đánh giá, đo lường hiệu quả và cập nhật định kỳ.
- Đảm bảo hoạt động nghiệp vụ của tổ chức không bị gián đoạn bởi các sự cố liên quan
đến ATTT.



- Nâng cao uy tín của tổ chức, tăng sức cạnh tranh, tạo lòng tin với khách hàng, đối tác,
thúc đẩy quá trình toàn cầu hóa và tăng cơ hội hợp tác quốc tế.
*Tại sao ISMS lại quan trọng
Rủi ro liên quan đến tài sản thông tin của một tổ chức cần phải được giải quyết. Đạt được
an toàn thông tin đòi hỏi phải quản lý rủi ro, bao gồm rủi ro từ các mối đe dọa liên quan
về vật lý, con người và công nghệ đối với tất cả các hình thức thông tin trong tổ chức
hoặc được sử dụng bởi tổ chức.
Việc áp dụng một hệ thống ISMS được trông đợi là một quyết định chiến lược cho một tổ
chức và điều cần thiết là quyết định này được tích hợp nhuần nhuyễn, có mở rộng và cập
nhật phù hợp với nhu cầu của tổ chức.
Việc thiết kế và thực hiện hệ thống ISMS của một tổ chức bị ảnh hưởng bởi nhu cầu và
mục tiêu của tổ chức, các yêu cầu an ninh, các quy trình kinh doanh được áp dụng, quy
mô và cấu trúc của tổ chức. Thiết kế và hoạt động của một hệ thống ISMS cần phản ánh
lợi ích và yêu cầu an toàn thông tin của tất cả các bên liên quan đến tổ chức bao gồm
khách hàng, nhà cung cấp, các đối tác kinh doanh, các cổ đông và các bên thứ ba khác có
liên quan.
Trong một thế giới kết nối với nhau, thông tin và các quy trình liên quan, các hệ thống và
mạng lưới là các tài sản kinh doanh quan trọng. Tổ chức và các hệ thống thông tin cũng
như mạng lưới của họ phải đối mặt với các mối đe dọa an ninh từ một loạt các nguồn
khác nhau, bao gồm gian lận máy tính, hoạt động gián điệp, phá hoại, hỏa hoạn và lũ lụt.
Thiệt hại cho hệ thống thông tin và mạng lưới gây ra bởi mã độc hại, tin tặc máy tính và
tấn công từ chối dịch vụ đã trở nên phổ biến hơn, với nhiều tham vọng hơn và ngày càng
tinh vi hơn.
Hệ thống ISMS quan trọng cho các hoạt động nghiệp vụ cả khu vực công và tư. Trong bất
cứ ngành nào, hệ thống ISMS tạo động lực hỗ trợ thương mại điện tử và rất cần thiết cho
các hoạt động quản lý rủi ro. Việc kết nối các mạng công cộng và tư nhân, chia sẻ tài sản
thông tin càng làm tăng khó khăn trong việc kiểm soát truy cập thông tin và xử lý thông
tin. Ngoài ra, việc phân tán các thiết bị lưu trữ di động có chứa tài sản thông tin có thể
làm giảm hiệu quả của các biện pháp kiểm soát truyền thống. Khi tổ chức áp dụng hệ

thống tiêu chuẩn ISMS, họ có khả năng thể hiện việc áp dụng một cách nhất quán các
nguyên tắc an toàn thông tin phù hợp tương ứng cho các đối tác kinh doanh và các bên
liên quan khác.
An toàn thông tin thường không phải lúc nào cũng được tính đến khi thiết kế và phát triển
hệ thống thông tin. Mặt khác, an toàn thông tin thường chỉ được coi như là một giải pháp
kỹ thuật. Tuy nhiên, an toàn thông tin đạt được thông qua các phương tiện kỹ thuật có
những hạn chế và có thể không có hiệu quả nếu không được hỗ trợ bởi quản lý và các thủ


tục phù hợp trong khuôn khổ một hệ thống ISMS. Tích hợp an ninh vào một hệ thống
thông tin sau khi đã triển khai thực tế có thể rất cồng kềnh và tốn kém. Một hệ thống
ISMS liên quan đến việc xác định các biện pháp kiểm soát nào được đưa ra và yêu cầu
cần lập kế hoạch cặn kẽ, chi tiết. Ví dụ, kiểm soát truy cập có thể về mặt kỹ thuật (logic),
vật lý, hành chính (quản lý) hoặc kết hợp giữa chúng, sẽ cung cấp một phương tiện để
đảm bảo quyền truy cập vào tài sản thông tin được hợp pháp và có giới hạn dựa trên các
yêu cầu nghiệp vụ và an toàn thông tin.
Việc áp dụng thành công một hệ thống ISMS là điều quan trọng để bảo vệ tài sản thông
tin cho phép một tổ chức:
a) đảm bảo rằng thông tin của mình được bảo vệ đầy đủ chống lại các mối đe dọa liên
tục;
b) duy trì một bộ khung tổng thể, có cấu trúc để xác định và đánh giá rủi ro an toàn thông
tin, lựa chọn và áp dụng các biện pháp kiểm soát khả dụng, đo lường và cải thiện hiệu
quả của chúng;
c) liên tục cải thiện môi trường kiểm soát;
d) tuân thủ pháp luật và các quy định một cách hiệu quả.
(TCVN 11238:2015 (ISO/IEC 27000:2014))
4. Áp dụng hệ thống quản lý an toàn thông tin theo TCVN ISO/IEC 27001:2009 tại
Công ty CP Netplus
NETPLUS thành lập vào cuối năm 2008 với khởi đầu cung cấp dịch vụ và giải pháp nội
dung số trên môi trường mạng. Qua một thời gian phát triển dựa trên dịch vụ chính là

SMS, công ty đã phát triển mạnh sang các dịch vụ mạng khác như phát triển website,
cung cấp Domain, hosting,...và cung cấp thiết bị cũng như dịch vụ liên quan đến văn
phòng và cảnh báo từ xa. NETPLUS là công ty tiên phong về phát triển hệ thống SMS
điều hành, quản lý học tập của học sinh và đang là công ty lớn nhất cung cấp dịch vụ này
ở miền Trung và Tây Nguyên, gồm SMS Điều hành, SMS Học tập, SMS Marketing,
SMS Cảnh báo… Các đối tác, khách hàng của NetPlus bao gồm hệ thống các trường
THCS, trường Mầm non, trường đại học, cao đẳng, trung tâm đào tạo tại Đà Nẵng;
Vietnam Airlines Miền Trung; Trung tâm khí tượng thuỷ văn Trung Trung bộ và nhà cung
cấp mạng di động, viễn thông, v.v. Năm 2014, khi biết chính sách hỗ trợ doanh nghiệp
của Chương trình quốc gia năng suất chất lượng, NETPLUS đã đăng ký tham gia và nhận
được hỗ trợ từ Chương trình để triển khai áp dụng hệ thống quản lý an toàn thông tin theo
tiêu chuẩn TCVN ISO/IEC 27001:2009. Trong suốt quá trình triển khai dự án, NETPLUS
đã được nhóm chuyên gia tư vấn của Viện Năng suất Việt Nam hướng dẫn, đào tạo và đạt
được những kết quả hết sức thiết thực.


4.1. Hiện trạng về đảm bảo an toàn thông tin trong quá trình kinh doanh tại
NETPLUS trước khi triển khai dự án hỗ trợ:
Mặc dù lãnh đạo công ty đã có sự quan tâm đến vấn đề đảm bảo an toàn thông tin trong
quá trình cung cấp dịch vụ tin nhắn SMS, vừa để đảm bảo đáp ứng các yêu cầu của khách
hàng sử dụng dịch vụ tin nhắn, vừa đáp ứng các yêu cầu của pháp luật liên quan đến loại
dịch vụ này nhưng do chưa có phương pháp tiếp cận bài bản, có tính hệ thống, nên công
ty vẫn có nguy cơ đối diện với các rủi ro có thể phương hại đến các tài sản thông tin của
khách hàng và của chính công ty. Ví dụ: tổng thời gian bị gián đoạn kinh doanh có
nguyên nhân liên quan đến các rủi ro, các mối đe dọa và điểm yếu trong hệ thống (như
hacker tấn công hệ thống máy chủ để cung cấp dịch vụ SMS, mất điện nguồn duy trì hệ
thống máy chủ…) trong những năm trước là chưa đáp ứng yêu cầu của khách hàng về
tính liên tục kinh doanh và an toàn thông tin (tính bằng ngày), khách hàng có những phàn
nàn, khiếu nại.
Bên cạnh đó, đối chiếu với các yêu cầu của tiêu chuẩn TCVN ISO/IEC 27001:2009, mức

độ đáp ứng của công ty tại thời điểm bắt đầu khởi động áp dụng ISO/IEC 27001:2009 là
thấp (đáp ứng đầy đủ yêu cầu: 0,85%; đáp ứng một phần: 17,80%, chưa đáp ứng: 81,36%
tính trên tổng số 118 hạng mục/ yêu cầu của tiêu chuẩn).

Hình 1: Kết quả đánh giá thực trạng mức độ đáp ứng các yêu cầu của TCVN ISO/IEC
27001:2009


4.2. Quá trình triển khai dự án xây dựng và áp dụng hệ thống an toàn thông tin
TCVN ISO/IEC 27001 tại NETPLUS
4.2.1 Lý do triển khai dự án
Xét về tổng thể, nhiều tổ chức, doanh nghiệp đặc biệt là trong các lĩnh vực có nguy cơ bị
tấn công cao như ngân hàng, tài chính, dầu khí, phát triển phần mềm… đã có sự đầu tư
nhất định về các con người, thiết bị, công nghệ, giải pháp công nghệ thông tin nhằm
phòng tránh và xử lý rủi ro, sự cố an toàn thông tin để tự bảo vệ các tài sản thông tin của
mình và của khách hàng. Tuy nhiên, đối với nhiều doanh nghiệp ở quy mô nhỏ và vừa thì
điều này vẫn còn sơ sài hoặc hoàn toàn chưa quan tâm. Điều này dẫn đến sự chủ quan,
thiếu ý thức, lỏng lẻo trong việc chủ động phòng tránh rủi ro trong quá trình sử dụng các
tài sản thông tin của tổ chức, tạo ra các lỗ hổng để tin tặc khai thác, tấn công hệ thống
thông tin và chỉ khi sự cố ATTT xảy ra thì mới thực hiện những biện pháp thụ động để xử
lý các sự cố.
Dịch vụ tin nhắn SMS do Công ty CP NETPLUS đã được lựa chọn đưa vào trong phạm
vi áp dụng thử nghiệm hệ thống quản lý an toàn thông tin theo TCVN ISO/IEC
27001:2009 do vấn đề đảm bảo an toàn thông tin của loại hình dịch vụ này có tầm tác
động khá rộng đến nhiều khách hàng sử dụng dịch vụ. Nếu các thuộc tính bao gồm Tính
bảo mật (Confidential), Tính toàn vẹn (Integrity) và Tính sẵn có (Availability) (ký hiệu là
C-I-A) của các tài sản thông tin kể cả của NETPLUS lẫn của khách hàng thì có thể dẫn
tới các tác động xã hội nhất định. Đặc biệt, nếu dịch vụ tin nhắn SMS bị lạm dụng hoặc
khai thác không đúng thẩm quyền thì ngoài yếu tố thiệt hại về kinh tế, tài chính, uy tín…,
còn có thể có tác động xấu về mặt chính trị, trật tự - xã hội.

4.2.2 Mục tiêu dự án:
Xây dựng được mô hình thử nghiệm áp dụng tiêu chuẩn Hệ thống quản lý an toàn thông
tin theo ISO/IEC 27001:2005 làm căn cứ quản lý một cách chủ động, có tính hệ thống,
khoa học, chặt chẽ đối với các rủi ro có thể gây tổn thất đến các tài sản thông tin của
doanh nghiệp, ảnh hưởng trực tiếp hoặc gián tiếp đến thông tin, tài sản của khách hàng sử
dụng dịch vụ của doanh nghiệp. Việc thực hiện tốt tiêu chuẩn này cũng sẽ giúp doanh
nghiệp đáp ứng tốt, đầy đủ các yêu cầu của pháp luật liên quan đến đảm bảo an toàn
thông tin.
4.2.3 Phạm vi áp dụng và thời gian triển khai dự án:
ISO/IEC 27001:2005 được áp dụng cho lĩnh vực kinh doanh chính của Công ty, đó là
“Quá trình cung cấp dịch vụ giá trị gia tăng trên mạng (tin nhắn SMS)”.
Thời gian được xác định triển khai xây dựng và áp dụng hệ thống là từ tháng 4/2014 –
11/2014.
4.2.4 Phương pháp triển khai:


* Vận dụng phương pháp tiếp cận P-D-C-A (Hoạch định-Thực hiện-Kiểm tra-Hành
động cải tiến/ điều chỉnh) để vạch ra Kế hoạch tổng thể dự án và Kế hoạch chi tiết ở từng
bước/ giai đoạn như Kế hoạch xây dựng văn bản, Kế hoạch đánh giá nội bộ..;
* Khảo sát thực trạng ban đầu để xác định mức độ đáp ứng yêu cầu tiêu chuẩn, từ đó
vạch ra kế hoạch cụ thể đáp ứng/ bổ sung những phần còn thiếu hoặc đã có nhưng chưa
đáp ứng yêu cầu tiêu chuẩn;
* Thực hiện các khóa đào tạo cần thiết theo Kế hoạch dự án để đảm bảo cung cấp đủ các
nhận thức, kiến thức và các vấn đề thực hành cần thiết cho việc thiết lập, thực hiện, áp
dụng, đánh giá, duy trì, cải tiến liên tục hệ thống quản lý ATTT;
* Triển khai áp dụng hệ thống theo các hạng mục ở từng giai đoạn của Kế hoạch tổng
thể dự án;
* Đánh giá nội bộ, xem xét, cải tiến hệ thống quản lý ATTT.
Các nội dung công việc cụ thể như trong Kế hoạch tổng thể triển khai mô hình thử
nghiệm ISO/IEC 27001 kèm theo.

4.3. Các kết quả, hiệu quả đạt được sau khi triển khai dự án xây dựng và áp dụng
hệ thống an toàn thông tin TCVN ISO/IEC 27001 tại NETPLUS
4.3.1 Kết quả đạt được:
* Toàn thể lãnh đạo, cán bộ của Công ty đã được đào tạo, hiểu rõ yêu cầu của tiêu
chuẩn, phương pháp để xây dựng, duy trì, cải tiến hệ thống quản lý an toàn thông tin theo
ISO/IEC 27001:2005. Với sự hướng dẫn của nhóm chuyên gia tư vấn, Công ty đã xây
dựng, ban hành hệ thống văn bản của hệ thống quản lý ATTT đáp ứng yêu cầu ISO/IEC
27001:2005 tương ứng với phạm vi áp dụng hệ thống và các quá trình kinh doanh, cơ cấu
tổ chức của doanh nghiệp. Công ty cũng đã xây dựng Mục tiêu an toàn thông tin năm
2014 và thực hiện theo dõi, đo lường kết quả thực hiện mục tiêu đã đề ra.
* Cải thiện đáng kể về mức độ đáp ứng các yêu cầu của tiêu chuẩn TCVN ISO/IEC
27001:2009 khi đối sánh giữa hai thời điểm: Khi hệ thống quản lý ISMS chưa được thiết
lập (theo kết quả đánh giá thực trạng ngày 19/4/2014): mức độ đáp ứng yêu cầu tiêu
chuẩn là rất thấp (đáp ứng đầy đủ yêu cầu: 0,85% ; đáp ứng một phần: 17,80%, chưa đáp
ứng: 81,36% trong tổng số 118 hạng mục/ yêu cầu của tiêu chuẩn). Sau khi hoàn thành
các hoạt động đánh giá nội bộ, thực hiện hành động khắc phục, xem xét của lãnh đạo về
hệ thống ISMS: mức độ đáp ứng yêu cầu tiêu chuẩn đã được cải thiện nhiều (đáp ứng
đầy đủ yêu cầu: 83,05% ; đáp ứng một phần: 16,95%, chưa đáp ứng: 0% trong tổng số
118 hạng mục/ yêu cầu của tiêu chuẩn) (xem Hình 2).


Hình 2: Kết quả đánh giá thực trạng mức độ đáp ứng các yêu cầu của TCVN ISO/IEC
27001:2009 (sau khi hoàn thành đánh giá nội bộ)
Đến tháng 8 năm 2015, hệ thống tiếp tục được duy trì, vận hành, cải tiến và tiếp tục phát
huy hiệu quả, giúp Công ty kiểm soát được rủi ro và thỏa mãn khách hàng tốt hơn.
4.3.2 Hiệu quả dự án:
* Nhận thức của lãnh đạo và CBNV công ty đối với yêu cầu bảo vệ Tính bảo mật, Tính
toàn vẹn và Tính sẵn có của các tài sản thông tin của doanh nghiệp và của khách hàng sử
dụng dịch vụ tin nhắn SMS đã được cải thiện rất rõ, từ đó làm nền tảng cho việc công bố
và thực thi các cam kết của lãnh đạo doanh nghiệp, nhằm huy động các nguồn lực cần

thiết để thực hiện các quá trình quản lý, các biện pháp kiểm soát về an toàn thông tin
được xác định trong hệ thống.
* Công ty được trang bị phương pháp quản lý theo cách thức có hệ thống dựa trên tiêu
chuẩn quốc tế ISO nói chung và ISO/IEC 27001 nói riêng để quản lý, điều hành hoạt
động cung cấp dịch vụ của công ty theo cách chuyên nghiệp, bài bản dựa trên nguyên lý
P-D-C-A, trong đó có việc xác định Chính sách, thiết lập Mục tiêu, quá trình kiểm soát
cần thiết để đảm bảo an toàn thông tin dựa trên phương pháp tiếp cận đánh giá rủi ro.
* Kết quả kinh doanh của Công ty và chất lượng quá trình cung cấp dịch vụ được cải
thiện; đảm bảo tính liên tục của quá trình kinh doanh; phòng ngừa và giảm thiểu các rủi
ro mất an toàn thông tin, tạo được lòng tin cho khách hàng và đối tác; duy trì sự tuân thủ


theo các yêu cầu của pháp luật về đảm bảo an toàn thông tin được áp dụng đối với doanh
nghiệp.
4.3.3 Những thuận lợi, khó khăn, bài học kinh nghiệm:
* Sự cam kết của lãnh đạo doanh nghiệp qua việc trực tiếp tham gia vào quá trình triển
khai (kể cả tham dự các khóa đào tạo), đảm bảo sẵn có các nguồn lực, thời gian, nhân lực
thực hiện kế hoạch xây dựng, áp dụng ISO/IEC 27001; hiệu quả hoạt động của Ban
ISO/IEC 27001, trong đó có ít nhất một vài cán bộ nòng cốt có am hiểu về lĩnh vực
CNTT sẽ tạo thuận lợi cho quá trình triển khai. Để đảm bảo hiệu quả, tất cả thành viên
Ban ISO/IEC 27001 bắt buộc phải tham dự tất cả các khóa đạo tạo theo kế hoạch thực
hiện ISO/IEC 27001 để sau này có đủ khả năng tự thực hiện đào tạo nội bộ cho các nhân
viên (đào tạo lại, đào tạo nhân viên mới…);
* Quy mô doanh nghiệp nhỏ và quá trình kinh doanh chính được chọn đưa vào phạm vi
áp dụng hệ thống không quá phức tạp cũng là một yếu tố thuận lợi để thực hiện xây dựng
hệ thống, nhất là giai đoạn đánh giá rủi ro an toàn thông tin. Do vậy, việc xác định mục
đích, phạm vi triển khai hệ thống là một trong những điểm xuất phát quan trọng cần chú
ý để đảm bảo thực hiện dự án có hiệu quả và phù hợp với nguồn lực sẵn có ở một doanh
nghiệp quy mô nhỏ;
* Kế hoạch triển khai mô hình thử nghiệm theo ISO/IEC 27001 được xây dựng trên cơ

sở vận dụng nguyên lý P-D-C-A (Hoạch định - Thực hiện - Kiểm tra - Cải tiến). Tuy
nhiên do thời gian hoàn tất một chu trình này là còn hạn chế (trung bình 8 – 10 tháng/ mô
hình/ doanh nghiệp), trong đó giai đoạn xây dựng/ thiết lập hệ thống (Hoạch định/ Plan)
thực tế cũng đã mất từ 3 – 4 tháng, nên thời gian dành cho các giai đoạn còn lại (Thực
hiện - Kiểm tra - Cải tiến) còn hạn chế, vì vậy doanh nghiệp cần tiếp tục chứng minh sự
cam kết để tiếp tục duy trì, vận hành, cải tiến thường xuyên hệ thống.
Vấn đề đảm bảo thực thi quyền sở hữu trí tuệ (Intellectual property rights – IPR): Việc
thiết lập, thực hiện các thủ tục thích hợp để đảm bảo tuân thủ theo các yêu cầu của pháp
luật, chế định và các ràng buộc hợp đồng liên quan đến việc sử dụng các tài liệu, sản
phẩm phần mềm có yêu cầu IPR được xem là một biện pháp kiểm soát theo yêu cầu
ISO/IEC 27001:2005 mà tổ chức thực hiện ISMS phải áp dụng. Ở Việt Nam, không phải
doanh nghiệp nào cũng đáp ứng đầy đủ yêu cầu này, đặc biệt là các doanh nghiệp có quy
mô vừa, nhỏ hoặc rất nhỏ khi trang bị, khai thác các phần mềm hệ điều hành cho máy
tính, các phần mềm ứng dụng …. có yêu cầu bản quyền hợp pháp. Việc vượt qua được
thách thức này để đáp ứng đầy đủ yêu cầu ISO/IEC 27001 sẽ đòi hỏi sự nỗ lực của nhiều
bên liên quan, gồm cơ quan quản lý nhà nước về IPR trong việc đảm bảo pháp luật về sở
hữu trí tuệ được thực thi, của chính doanh nghiệp thực hiện ISMS để nhận thức được
trách nhiệm và lợi ích khi khai thác các phần mềm hợp pháp, và cả áp lực từ phía khách
hàng, đối tác kinh doanh của doanh nghiệp. Xây dựng thành công hệ thống quản lý an
toàn thông tin đã đem lại những thay đổi tích cực cho Công ty. Do đó, việc duy trì áp
dụng, đánh giá, xem xét, cải tiến liên tục hệ thống quản lý ATTT đã được thiết lập, vận


hành trong thời gian tiếp theo đòi hỏi sự cam kết của Lãnh đạo cũng như sự tham gia của
toàn bộ cán bộ trong Công ty thông qua các hoạt động như: Thường xuyên xem xét, cập
nhật hệ thống quản lý để tiếp tục duy trì hiệu lực, hiệu quả của hệ thống, đặc biệt là cập
nhật về các văn bản pháp luật về ATTT, cập nhật về phương pháp đánh giá rủi ro ATTT,
cập nhật các rủi ro (kết hợp của mối đe dọa và các điểm yếu) về ATTT; Chú trọng hoạt
động đào tạo cho nhân viên trong phạm vi triển khai hệ thống để duy trì sự nhận thức về
rủi ro ATTT, cũng như cập nhật các kiến thức, kỹ năng cần thiết trong việc áp dụng các

biện pháp kiểm soát ATTT phù hợp với chính sách ATTT của doanh nghiệp.
KẾT LUẬN
Hệ thống quản lý ATTT là nhu cầu thiết yếu của một tổ chức, khi cần đảm bảo ATTT một
cách toàn diện. Xây dựng hệ thống ISMS theo tiêu chuẩn ISO 27001: 2013 sẽ giúp hoạt
động đảm bảo ATTT của tổ chức được quản lý chặt chẽ. Do tiêu chuẩn ISO 27001 xem
xét đảm bảo ATTT trên nhiều khía cạnh, nên việc xây dựng và áp dụng hệ thống đòi hỏi
phải có sự quyết tâm của lãnh đạo tổ chức và sự phối hợp đồng bộ các bộ phận của tổ
chức
trong
việc
xây
dựng
và
duy
trì
hệ
thống.
Những vấn đề khó khăn, cần lưu ý khi các đơn vị bắt tay vào xây dựng hệ thống ISMS là:
Nhận thức của người dùng trong tổ chức về việc đảm bảo ATTT, đánh giá lợi ích mang
lại khi áp dụng hệ thống ISMS chưa cao; Trách nhiệm xây dựng, duy trì hệ thống được
phân công không phù hợp, đơn vị được giao không nhận được sự phối hợp, cộng tác của
các đơn vị khác trong tổ chức. Bên cạnh đó, việc xây dựng và nâng cấp hệ thống cần sự
quan tâm của lãnh đạo và đầu tư nguồn lực thích đáng.