<span class='text_page_counter'>(1)</span><div class='page_container' data-page=1>

Video Case

<i>1.</i> <i>Mikko Hypponen: How the NSA betrayed the world's trust — time </i>

<i>to act (19:18) </i>

<i>2.</i> <i>Mikko Hypponen: Fighting viruses, defending the net (17:31) </i>

<i>3.</i> <i>Jennifer Golbeck: The curly fry conundrum: Why social media </i>
<i>“likes” say more than you might think (9:55) </i>

4. Security.swf

</div>
<span class='text_page_counter'>(2)</span><div class='page_container' data-page=2>

Chapter 7

Đạo đức và An ninh

trong

</div>
<span class='text_page_counter'>(3)</span><div class='page_container' data-page=3>

Đề cương chi tiết môn học

Nội dung

Hình thức tổ chức dạy học

Tổng
cộng

Số tiết trên lớp

Tự học,
tự NC

Lý
thuyết

Thực hành

Tổng
Bài tập T. luận Khác

<b>Phần I. Cơ sở phương pháp luận về MIS </b>

C1: Đại cương về MIS 2 4 2 8 4 12

<b>Phần II. Hạ tầng công nghệ thông tin của MIS </b>

C2: Mạng, Internet và TMDT 2 3 1 6 6 12
C3: Quản trị dữ liệu và tri thức 3 3 2 8 10 18

<b>Phần III. Các MIS trong thực tiễn </b>

C4: Các MIS trong tổ chức 3 3 2 1 9 9 18

<b>Phần IV. Quản trị MIS </b>

C5: MIS và lợi thế cạnh tranh 1 1 1 3 3 6

C6: Phát triển MIS 3 3 2 1 9 9 18

<b>C7: Đạo đức và An ninh MIS </b> <b>1 </b> <b>1 </b> <b>2 </b> <b>4 </b> <b>6 </b>

<b>TỔNG </b> <b>15 </b> <b>18 </b> <b>10 </b> <b>2 </b> <b>45 </b> <b>45 </b> <b>90 </b>

</div>
<span class='text_page_counter'>(4)</span><div class='page_container' data-page=4>

Learning Objectives

1. Mô tả ảnh hưởng của kỷ nguyên
TT đến vấn đề đạo đức trong IS
2. Thảo luận về 4 vấn đề trong mô

hình PAPA của Mason

3. Giải thích và trình bày được các
nguyên tắc và chuẩn mực đạo
đức trong IS

4. Giải thích các rủi ro đối với IS
5. Mô tả các yêu cầu, nội dung

</div>
<span class='text_page_counter'>(5)</span><div class='page_container' data-page=5>

<i>07-5 </i>

Outline

<i><b>I. Đạo đức trong Hệ thống thông tin </b></i>

1.1. Khái niệm

1.2. Các vấn đề đạo đức trong kỷ nguyên thông tin
<i>1.2.1. Quyền riêng tư (Information Privacy) </i>

<i>1.2.2. Tính chính xác (Information Accuracy) </i>

<i>1.2.3. Quyền sở hữu thông tin (Information Property) </i>

<i>1.2.4. Quyền tiếp cận thông tin (Information Accessibility) </i>
1.3. Các quy định về chuẩn mực hành vi

1.3.1. Khung pháp lý về CNTT ở Việt Nam
1.3.2. Chuẩn mực đạo đức máy tính

<i><b>II. An ninh hệ thống thông tin </b></i>

2.1. Rủi ro trong HTTT

</div>
<span class='text_page_counter'>(6)</span><div class='page_container' data-page=6>

I. Đạo đức trong Hệ thống thông tin

<b>Ethics </b>– “Principles of right and wrong that individuals, acting

as

free moral agents

, use to make choices to guide their

<i>behaviors” (Laudon, Management Information Systems 10e, p 128) </i>

<b>Computer Ethics </b>– “Issues and standards of conduct pertaining
<i>to the use of information systems” (Jessup, IS Today 3e) </i>

<b>Cộng đồng, Xã hội </b>

<b>Hoạt động </b>

<b>Hoạt động </b>
<b>Cá nhân </b>

</div>
<span class='text_page_counter'>(7)</span><div class='page_container' data-page=7>

I. Đạo đức trong IS – 1.1 Vấn đề đạo đức trong kỹ nguyên TT

• <b>Trách nhiệm (Responsibility)</b> – nhân tố cơ bản của hành vi
đạo đức. Đó là việc chấp nhận chi phí, nhiệm vụ và nghĩa
vụ đối với các quyết định của mình.

• <b>Trách nhiệm giải trình (Acountability) </b>– cơ chế để xác định
các bên chịu trách nhiệm (ai có thẩm quyền thực thi nhiệm
vụ và người đó phải chịu trách nhiệm trước một cá nhân
hay một nhóm người nào)

• <b>Trách nhiệm pháp lý (Liability) </b>– cho phép các cá nhân (và tổ
chức) khắc phục các thiệt hại do người khác gây ra cho họ

• <b>Q trình/ thủ tục pháp lý (Due process)</b>

<i>07-7 </i>

</div>
<span class='text_page_counter'>(8)</span><div class='page_container' data-page=8>

I. Đạo đức trong IS – 1.1 Vấn đề đạo đức trong kỹ nguyên TT

<b>Đạo đức trong hệ thống </b>
<b>thơng tin </b>

• Quyền và nghĩa vụ về
thơng tin

• Quyền và nghĩa vụ về
tài sản thơng tin

• Trách nhiệm giải trình

và kiểm sốt

• Chất lượng dữ liệu và
hệ thống

• Chất lượng cuộc sống

</div>
<span class='text_page_counter'>(9)</span><div class='page_container' data-page=9>

I. Đạo đức trong IS – 1.1 Vấn đề đạo đức trong kỹ nguyên TT

<i>07-9 </i>

Các xu hướng phát triển công nghệ  vấn đề đạo đức

• Năng lực xử lý “<i>tăng gấp đôi</i>”  các tổ chức ngày càng lệ
thuộc vào IS để xử lý cơng việc

• Giảm chi phí lưu trữ dữ liệu  khả năng lưu trữ dữ liệu cá
nhân nhiều hơn và chi tiết hơn

</div>
<span class='text_page_counter'>(10)</span><div class='page_container' data-page=10>

I. Đạo đức trong IS – 1.1 Vấn đề đạo đức trong kỹ nguyên TT

• Tiến bộ công nghệ mạng và Internet  sao chép và truy
xuất thơng tin từ xa dễ dàng

• Tiến bộ về kỹ thuật phân tích số liệu

<i>– Profiling – kết hợp dữ liệu từ nhiều nguồn để tạo hồ sơ </i>
về các thông tin chi tiết của cá nhân

<i>– Nonobvious relationship awareness (NORA) </i>

• Tăng trưởng của thiết bị di động
– Theo dõi cell phones cá nhân

</div>
<span class='text_page_counter'>(11)</span><div class='page_container' data-page=11>

I. Đạo đức trong IS – 1.1 Vấn đề đạo đức trong kỹ nguyên TT

<b>Phần mềm NORA (Nonobvious </b>
<b>relationship awareness) </b>của
SRD cho các sòng bạc ở
Las Vegas để phát hiện
gian lận

Nó có thể thu thập thơng tin về
một cá nhân từ nhiều nguồn
khác nhau và các hành vi
của người đó để phát hiện
các mối quan hệ mờ ám,
không rõ ràng

<i>07-11 </i>

<b>NORA technology </b>

</div>
<span class='text_page_counter'>(12)</span><div class='page_container' data-page=12>

I. Đạo đức trong Hệ thống thông tin

Richard O. Mason (1986)

<i>trong bài báo “Four Ethical </i>

<i>Issues of the Information </i>

<i>Age.</i>” đưa ra các vấn đề liên

quan đạo đức trong kỷ
ngun thơng tin:

• Quyền riêng tư
• Tính chính xác

• Quyền sở hữu thơng tin
• Quyền tiếp cận thơng tin

</div>
<span class='text_page_counter'>(13)</span><div class='page_container' data-page=13>

I. Đạo đức trong IS – 1.2. Các vấn đề về chuẩn mực hành vi

<i>07-13 </i>

<b>Mơ hình PAPA – Richard O. Mason (1986) </b>

<b>Privacy </b> <b>Accuracy </b> <b>Property </b> <b>Accessibility </b>

<b>Pro</b>

<b>blem</b>

<b>s </b>

<b>Is</b>

<b>sue</b>

<b>s </b>

<i>Mối đe dọa </i>

• Sự phát triển của IT, với khả năng ngày càng nâng cao của nó

để giám sát, truyền thơng, tính tốn, lưu trữ, và phục hồi.

• Thơng tin ngày càng có giá trị cao trong việc ra quyết định

• <b>WHAT</b> thông tin cá nhân hoặc hiệp hội của một cá nhân mà
người đó có thể tiết lộ cho người khác; trong những điều kiện
gì và những biện pháp gì để bảo vệ

• <b>WHAT</b> người ta có thể giữ riêng cho bản thân mà khơng bị bắt
buộc phải tiết lộ cho người khác?

</div>
<span class='text_page_counter'>(14)</span><div class='page_container' data-page=14>

I. Đạo đức trong IS – 1.2. Các vấn đề về chuẩn mực hành vi

<b>Quyền riêng tư – Quyền được ở một mình, tự do khơng bị </b>

theo dõi hoặc can thiệp bởi các cá nhân, tổ chức, hoặc
nhà nước; Quyền được kiểm sốt thơng tin bản thân

<b>Các vấn đề </b>

• “<i>Privacy</i>” vs “<i>Freedom of Speech</i>”

<i>• Kỷ ngun thơng tin đã tác động thế nào đến “Privacy” ? </i>
• Mối quan hệ hỗ tương về lợi ích giữa người thu thập

thơng tin cá nhân với cá nhân đó.

 Cá nhân có thể tiết lộ hoặc giữ bí mật các thơng tin?
 Tổ chức được quyền thu thập thơng tin gì; và được
làm gì với các thơng tin thu thập được?

</div>
<span class='text_page_counter'>(15)</span><div class='page_container' data-page=15>

I. Đạo đức trong IS – 1.2. Các vấn đề về chuẩn mực hành vi

<b>Federal Trade Commission (FTC) </b>đưa ra các nguyên tắc “Fair
Information Practices (FIP)”

<i>• Thơng báo / nhận thức</i> (ngun tắc cốt lõi)  Website phải
báo cho cá nhân biết trước khi thu thập dữ liệu.

<i>• Lựa chọn / đồng ý </i>(nguyên tắc cốt lõi)  Người tiêu dùng
phải có khả năng lựa chọn việc thơng tin của họ được sử
dụng ra sao cho các mục tiêu thứ cấp.

<i>• Truy cập / tham gia</i>  Người tiêu dùng phải có khả năng
xem xét và tranh luận về sự chính xác của dữ liệu cá nhân.

<i>• An ninh </i> Người thu thập dữ liệu phải thực hiện các bước
nhằm đảm bảo tính chính xác, bảo mật của dữ liệu cá nhân.

<i>• Thực thi </i> Phải có cơ chế để đảm bảo việc tuân thủ các
nguyên tắc FIP.

<i>07-15 </i>

</div>
<span class='text_page_counter'>(16)</span><div class='page_container' data-page=16>

I. Đạo đức trong IS – 1.2. Các vấn đề về chuẩn mực hành vi

• <b>Cookies</b>  nhận dạng trình duyệt và theo dõi việc ghé thăm
trang web.  Super cookie (Flash cookies)

• <b>Web beacons (Web bugs)</b>: hình ảnh đồ họa nhỏ nhúng trong

e-mail và các trang Web để giám sát người đang đọc tin
nhắn e-mail hoặc truy cập vào trang web

• <b>Spyware</b>: ứng dụng “gián điệp” cài trên máy trạm nhằm lén
lút thu thập thơng tin cá nhân.

• <b>Identify Theft </b> mạo danh

• Dịch vụ của Google và “<b>behavioral targeting</b>”

</div>
<span class='text_page_counter'>(17)</span><div class='page_container' data-page=17>

<i>07-17 </i>

3. Tài sản thông tin – Information Property

<b>Cookies</b> – là các tập tin “văn bản” được các WebSite viết và
lưu trú trên đĩa cứng của máy trạm nhằm lưu các thông
tin về người dùng khi họ duyệt WebSite đó

</div>
<span class='text_page_counter'>(18)</span><div class='page_container' data-page=18>

3. Tài sản thông tin – Information Property

<b>Spyware</b> – ứng dụng “gián điệp” cài lén lên máy trạm nhằm
thu thập thông tin cá nhân một cách bất hợp pháp

Thông tin thu thập dùng để:
• Lừa đảo (Identify Theft )
• Bán cho các cơng ty

quảng cáo, spammers
• Sửa đổi hoạt động trình

duyệt như quảng cáo,
thêm ad banners,
pop-ups, … (Adware)

• …

</div>
<span class='text_page_counter'>(19)</span><div class='page_container' data-page=19>

<i>07-19 </i>

I. Đạo đức trong IS – 1.2. Các vấn đề về chuẩn mực hành vi

<b>Identify Theft – </b>việc đánh cắp các thông tin cá nhân (SSN, tài
khoản, số thẻ tín dụng, …) để hưởng lợi bất chính như rút
tiền, mua hàng, vay nợ …

<b>1.2.1. Quyền riêng tư (Information Privacy) – Mạo danh (Identify Theft) </b>

<b>Các vấn đề </b>

<i>• “Vơ hình” đối với nạn </i>
nhân

• Khó phát hiện và sửa
đổi

</div>
<span class='text_page_counter'>(20)</span><div class='page_container' data-page=20>

I. Đạo đức trong IS – 1.2. Các vấn đề về chuẩn mực hành vi

<b>1.2.1. Quyền riêng tư (Information Privacy) – Mạo danh (Identify Theft) </b>
<b>Phishing</b> – Hình

thức lường gạt

để lấy tài

khoản, số thẻ
tín dụng

• Giả mạo

WebSite hợp
pháp.

• Ngụy tạo thông
điệp gạt người
sử dụng

</div>
<span class='text_page_counter'>(21)</span><div class='page_container' data-page=21>

I. Đạo đức trong IS – 1.2. Các vấn đề về chuẩn mực hành vi

• <b>Điều lệ thành viên (Privacy Policy</b> )-- Tìm hiểu trước khi đăng

ký thành viên

• <b>Mật khẩu (Password ) </b>-- Mật khẩu “tốt”, mật khẩu “nhân trắc
học” (Biometrics)

• <b>Email </b>– Sử dụng nhiều tài khoản với các phạm vi sử dụng
khác nhau

• Cơng cụ <b>Anti-Spyware </b>

• Cơng cụ sẵn có trong <b>trình duyệt </b>

 Chế độ duyệt vơ danh “<i>Private</i>”

 Tùy chọn “<i>Do not track</i>”

• Xác thực người máy -- <b>CAPCHA </b>

• Truy cập <b>Wifi</b> – SSID, PIN / MAC Address
• …

<i>07-21 </i>

</div>
<span class='text_page_counter'>(22)</span><div class='page_container' data-page=22>

I. Đạo đức trong IS – 1.2. Các vấn đề về chuẩn mực hành vi

<b>1.2.1. Quyền riêng tư – HOW – Điều lệ Privacy Statement </b>

<b>Privacy Statements </b>được các tổ chức thu thập thông tin nêu ra về
cách thức họ dự định sử dụng chúng gồm 2 loại

• <b>Internal Use </b>– chỉ dùng trong phạm vi tổ chức
• <b>External Use </b>– có thể bán ra bên ngồi

<i>Vấn đề: Người dùng </i>

<i>có thật sự xem và hiểu </i>

</div>
<span class='text_page_counter'>(23)</span><div class='page_container' data-page=23>

<i>07-23 </i>

I. Đạo đức trong IS – 1.2. Các vấn đề về chuẩn mực hành vi

<b>1.2.1. Quyền riêng tư (Information Privacy) – Top-10 Passcode (Daniel Amitay) </b>

</div>
<span class='text_page_counter'>(24)</span><div class='page_container' data-page=24>

I. Đạo đức trong IS – 1.2. Các vấn đề về chuẩn mực hành vi

</div>
<span class='text_page_counter'>(25)</span><div class='page_container' data-page=25>

I. Đạo đức trong IS – 1.2. Các vấn đề về chuẩn mực hành vi

<i>07-25 </i>

<b>Privacy </b> <b>Accuracy </b> <b>Property </b> <b>Accessibility </b>

<b>Pro</b>

<b>blem</b>

<b>s </b>

<b>Is</b>

<b>sue</b>

<b>s </b>

Thông tin sai lạc  quyết định sai lầm, đặc biệt khi chúng nằm
trong tay những người có lợi thế về quyền lực

• <b>WHO</b> chịu trách nhiệm về khả năng xác thực, tính trung thực
và chính xác của thơng tin?

• <b>WHO</b> có trách nhiệm giải trình về sai sót trong thơng tin và

phải hành xử gì khi bị tổn thương?

Nguyên tắc đạo đức: Chúng ta phải bảo đảm rằng
công nghệ thông tin, và các thông tin được xử lý,
được sử dụng để nâng cao phẩm cách của nhân loại

</div>
<span class='text_page_counter'>(26)</span><div class='page_container' data-page=26>

I. Đạo đức trong IS – 1.2. Các vấn đề về chuẩn mực hành vi

<b>Information Accuracy </b>– các vấn đề liên quan đến tính xác
thực về nguồn gốc và sự đúng đắn của thông tin cũng như
việc xác định ai chịu trách nhiệm đối với các thông tin sai
lệch gây nguy hại đến người khác

<b>Các yếu tố gây lỗi </b>

• <b>Lỗi kỹ thuật </b>– lỗi giải thuật, truyền thơng và/hay q trình
xử lý khi nhận, xử lý, lưu trữ, và trình bày thơng tin. Lỗi
này xảy ra trong q trình phân tích, thiết kế, và xây
dựng IS

• <b>Lỗi do người sử dụng </b>– trong quá trình nhập liệu, khai
thác và quản lý hệ thống

</div>
<span class='text_page_counter'>(27)</span><div class='page_container' data-page=27>

I. Đạo đức trong IS – 1.2. Các vấn đề về chuẩn mực hành vi

<i>07-27 </i>

<b>Privacy </b> <b>Accuracy </b> <b>Property </b> <b>Accessibility </b>

<b>Pro</b>

<b>blem</b>

<b>s </b>

<b>Is</b>

<b>sue</b>

<b>s </b>

• Các vấn đề đa dạng và tập trung vào lãnh vực <i>tài sản trí tuệ </i>

 quyền chiếm hữu, định đoạt và sử dụng

• <b>WHO</b> sở hữu thơng tin?

• <b>WHAT</b> giá hợp lý và cơng bằng khi trao đổi thơng tin?

• <b>WHO</b> sở hữu các kênh truyền, đặc biệt là kênh truyền thơng?
• <b>HOW</b> được phép truy cập vào các nguồn tài nguyên khan

hiếm đó?

Nguyên tắc đạo đức: Chúng ta phải bảo đảm rằng
công nghệ thông tin, và các thông tin được xử lý,
được sử dụng để nâng cao phẩm cách của nhân loại

</div>
<span class='text_page_counter'>(28)</span><div class='page_container' data-page=28>

I. Đạo đức trong IS – 1.2. Các vấn đề về chuẩn mực hành vi

<b>Quyền sở hữu thông tin </b>– các vấn đề liên quan đến ai là
người sở hữu thông tin và cách thức thông tin được mua
bán hay trao đổi

<b>1.2.3. Quyền sở hữu thơng tin (Information Property) </b>

<b>Tài sản trí tuệ: </b><i>(</i><b>Intellectual property</b><i>)  </i>tài sản vơ hình, thành

quả của “tư duy trí tuệ” của cá nhân hay tổ chức

<i>Ví dụ: các phát minh; các tác phẩm nghệ thuật và văn học; </i>

các biểu tượng, hình ảnh, tên, thiết kế dùng trong thương
mại: thông tin ...

</div>
<span class='text_page_counter'>(29)</span><div class='page_container' data-page=29>

<i>07-29 </i>

I. Đạo đức trong IS – 1.2. Các vấn đề về chuẩn mực hành vi

• <b>Bí mật thương mại (Trade secret)</b> sản phẩm hay cơng việc “trí
tuệ” thuộc sở hữu tổ chức và không công bố i.e. công thức
sản xuất Coca-Cola.

• <b>Tác quyền (Copyright): </b>bảo hộ tài sản trí tuệ gồm quyền tái
bản, in ấn và trình diễn hay trưng bày tác phẩm của mình
trước công chúng cho đến 50 năm kể từ khi tác giả qua đời
(cơng ước Berne, 1886)

• <b>Bằng sáng chế (Patents): </b>nhà phát minh được toàn quyền
ngăn chặn người khác không được áp dụng, sử dụng và
bán một phát minh đã được cấp bằng sáng chế trong 20
năm sau khi công bố để đổi lại việc công bố chi tiết phát
minh cho công chúng.

</div>
<span class='text_page_counter'>(30)</span><div class='page_container' data-page=30>

I. Đạo đức trong IS – 1.2. Các vấn đề về chuẩn mực hành vi

</div>
<span class='text_page_counter'>(31)</span><div class='page_container' data-page=31>

<i>07-31 </i>

I. Đạo đức trong IS – 1.2. Các vấn đề về chuẩn mực hành vi

</div>
<span class='text_page_counter'>(32)</span><div class='page_container' data-page=32>

I. Đạo đức trong IS – 1.2. Các vấn đề về chuẩn mực hành vi

• Chuẩn cấp phép chia sẻ và sử dụng tài sản trí tuệ

• Cơng cụ tuân thủ, bảo vệ bản quyền; giúp cho phép tác giả
thay đổi các điều khoản bản quyền qua các yếu tố tùy chọn
sao cho phù hợp nhất

<b>1.2.3. Quyền sở hữu thông tin – Creative Common licenses </b>

<b>BY </b>– Attribution Ghi công - bắt buộc
<b>NC </b>– NonCommercial Phi thương mại

</div>
<span class='text_page_counter'>(33)</span><div class='page_container' data-page=33>

<i>07-33 </i>

I. Đạo đức trong IS – 1.2. Các vấn đề về chuẩn mực hành vi

<b>Ăn cắp bản quyền phần mềm (Software Piracy) – </b>hành vi
sao chép, phân phối bất hợp pháp các phần mềm có bản
quyền (copyrighted software)

<b>Nguyên nhân </b>

• Lý do kinh tế

• Sự khác biệt về nhận thức giữa các quốc gia về “sở
hữu trí tuệ (intellectual property)”

• Thiếu hiểu biết

<b>1.2.3. Quyền sở hữu thông tin – Software Piracy </b>

</div>
<span class='text_page_counter'>(34)</span><div class='page_container' data-page=34>

I. Đạo đức trong IS – 1.2. Các vấn đề về chuẩn mực hành vi

<b>Mua bán tên miền (Cybersquatting)</b> – Việc đăng ký tên
miền rồi bán lại để hưởng lợi

<i>Tên miền được các tổ chức và cá nhân đăng ký sử dụng </i>
<i>nhằm mục đích thơng qua đó góp phần quảng bá về tổ </i>
<i>chức, sản phẩm, dịch vụ, tiến hành các hoạt động </i>

<i>thương mại và phi thương mại trong mơi trường Internet </i>
<i>tồn cầu. </i>

Giải quyết tranh chấp về đăng ký, sử dụng tên miền quốc
gia Việt Nam “.vn” (Luật CNTT số: 67/2006/QH11)

• Thơng qua thương lượng, hòa giải

</div>
<span class='text_page_counter'>(35)</span><div class='page_container' data-page=35>

I. Đạo đức trong IS – 1.2. Các vấn đề về chuẩn mực hành vi

<i>07-35 </i>
Nguyên tắc đạo đức: Chúng ta phải bảo đảm rằng

công nghệ thông tin, và các thông tin được xử lý,
được sử dụng để nâng cao phẩm cách của nhân loại

<b>Privacy </b> <b>Accuracy </b> <b>Property </b> <b>Accessibility </b>

<b>Pro</b>

<b>blem</b>

<b>s </b>

<b>Is</b>

<b>sue</b>

<b>s </b>

Trình độ Tin học – Computer Literacy

• <b>3 Rs: Read, wRite, aRithmetic + computeR </b>
Khoảng cách số – Digital Divide

• “ Knowledge is Power” Francis Bacon, 1597

• <b>WHAT</b> thơng tin nào cá nhân hoặc tổ chức có quyền/ đặc ân
để có được, trong các <b>điều kiện gì </b>và với các <b>biện pháp bảo </b>
<b>vệ gì</b>?

</div>
<span class='text_page_counter'>(36)</span><div class='page_container' data-page=36>

I. Đạo đức trong IS – 1.2. Các vấn đề về chuẩn mực hành vi

• <b>Information Accessibility –ai có quyền thu thập, thông tin </b>

riêng cá nhân/ tổ chức khác và cách thức sử dụng chúng

<b>WHO </b>

• <b>Chính phủ </b>– sử dụng các phần mềm tiên tiến (e.g
Carnivore), kiểm soát tức thời hoặc sau đó các lưu
lượng email, và tất cả các hoạt động lên mạng

• <b>Người sử dụng lao động </b>– có quyền (trong phạm vi giới
hạn) giám sát, hoặc truy xuất các hoạt động trên các

máy tính hay mạng của cơng ty khi họ đã cơng bố chính
sách đó với nhân viên

</div>
<span class='text_page_counter'>(37)</span><div class='page_container' data-page=37>

<i>07-37 </i>

I. Đạo đức trong Hệ thống thông tin

<b>1.3. Chuẩn mực hành vi đạo đức </b>

<b>Chuẩn mực hành vi – </b>xuất phát từ nhiều nguồn khác nhau

<b>1. Luật pháp </b> Hành vi cấm hay KHÔNG cấm ngoài xã hội
Hệ thống luật pháp: về CNTT, về TMĐT

<b>2. Quy định cơ quan, quy ước trong cộng đồng xã hội </b> Hành
vi cấm hay KHƠNG cấm trong nhóm xã hội

Nội quy tổ chức về an tồn thơng tin

<b>3. Đạo đức </b> Hành vi “KHÔNG” vi phạm luật pháp
1. Nguyên tắc đạo đức

</div>
<span class='text_page_counter'>(38)</span><div class='page_container' data-page=38>

<b>Quan hệ dân sự (nghĩa vụ dân sự và hợp đồng dân sự) </b>
<b>Hoạt động kinh doanh </b>

<b>Giao dịch TMĐT </b>

I. Đạo đức trong IS – 1.3. Chuẩn mực hành vi đạo đức

<b>1.3.1. Khung pháp lý về CNTT ở Việt Nam – Đối tượng điều chỉnh </b>

<b>Hệ thống </b>

<b>Luật CNTT </b> <b>Luật TMDT Hệ thống </b>
<b>Luật </b>
<b>doanh </b>
<b>nghiệp </b>
<b>Luật </b>
<b>thương </b>
<b>mại </b>
<b>Bộ luật </b>
<b>dân sự </b>
<b>Các </b>
<b>cơ chế </b>
<b>giải quyết </b>
<b>tranh </b>

<b>chấp </b> <i>_{Hình thức}</i>

<i>Trách nhiệm </i>
<i>và nghĩa vụ </i>

</div>
<span class='text_page_counter'>(39)</span><div class='page_container' data-page=39>

I. Đạo đức trong IS – 1.3. Chuẩn mực hành vi đạo đức

<i>07-39 </i>

<b>1.3.1. Khung pháp lý về CNTT ở Việt Nam – Luật và NĐ hướng dẫn </b>

<b>Luật Giao dịch điện tử </b>

<b>51/2005/QH11 </b> <b>Luật Công nghệ thông tin 67/2006/QH11 </b>

Nghị định về
chống thư rác

Nghị định về
chữ ký số và
dịch vụ chứng thực

chữ ký số
Nghị định về TMĐT

Nghị định về GDĐT
trong hoạt động tài chính

Nghị định về GDĐT
trong hoạt động ngân hàng

Nghị định về dịch vụ
Internet và cung cấp
thông tin trên Internet
Nghị định về ứng dụng
CNTT trong cơ quan NN

Nghị định về cung cấp
thông tin và dịch vụ công

</div>
<span class='text_page_counter'>(40)</span><div class='page_container' data-page=40>

I. Đạo đức trong IS – 1.3. Chuẩn mực hành vi đạo đức

<b>Ngày </b> <b>Xử lý vi phạm hành chính </b> <b>VB căn cứ </b>

10/04/2007 Nghị định số 63/2007/NĐ-CP quy định xử phạt vi phạm
hành chính trong lĩnh vực cơng nghệ thơng tin

Luật quảng
cáo

20/09/2011 Nghị định số 83/2011/NĐ-CP quy định về xử phạt vi phạm
hành chính trong lĩnh vực viễn thông

Luật Viễn
thông
12/11/2013 Nghị định số 158/2013/NĐ-CP quy định xử phạt vi phạm

hành chính trong lĩnh vực văn hoá, thể thao du lịch và
quảng cáo

Luật CNTT

13/11/2013 Nghị định số 174/2013/NĐ-CP quy định xử phạt vi phạm
hành chính trong lĩnh vực bưu chính, viễn thơng, cơng nghệ
thơng tin và tần số vô tuyến điện

15/11/2013 Nghị định số 185/NĐ-CP quy định xử phạt vi phạm hành
chính trong hoạt động thương mại, sản xuất, buôn bán
hàng giả, hàng cấm và bảo vệ quyền lợi người tiêu dùng

</div>
<span class='text_page_counter'>(41)</span><div class='page_container' data-page=41>

I. Đạo đức trong IS – 1.3. Chuẩn mực hành vi đạo đức

<i><b>Nguyên tắc đạo đức </b></i>

• <i>Golden Rule: “Do unto others as you would have them do </i>
<i>unto you.</i>”

• Categorical Imperative (Immanuel Kant): “<i>If an action is not </i>
<i>right for everyone to take, it is not right for anyone.</i>”

• Rule of Change (Descartes): “<i>If an action cannot be taken </i>
<i>repeatedly, it is not right to take at all.</i>”

• Utilitarian Principle: “<i>Take the action that achieves the </i>
<i>higher or greater value.</i>”

• Risk Aversion Principle: “<i>Take the action that produces the </i>
<i>least harm or potential cost.</i>”

• Ethical “No Free Lunch” Rule: <i>“Assume that virtually all </i>
<i>tangible and intangible objects are owned by someone </i>

<i>unless there is a specific declaration otherwise.” </i> <i>_07-41</i>

</div>
<span class='text_page_counter'>(42)</span><div class='page_container' data-page=42>

I. Đạo đức trong IS – 1.3. Chuẩn mực hành vi đạo đức

<b>Chuẩn mực hành vi nghề nghiệp </b>– những cam kết nghề nghiệp
để điều chỉnh cá nhân hướng tới lợi ích chung của xã hội

Do các hiệp hội nghề nghiệp ban hành, i.e. Ngành Y, Ngân
hàng, Luật, Máy tính, ...

<b>Các tình huống “tiến thoái lưỡng nan” </b>

 Xung đột về lợi ích nhóm.

Ví dụ: Tự động hóa q trình kinh doanh  Tăng năng suất
và giảm lao động

</div>
<span class='text_page_counter'>(43)</span><div class='page_container' data-page=43>

I. Đạo đức trong IS – 1.3. Chuẩn mực hành vi đạo đức

<b>Thou shalt NOT </b>

<i>07-43 </i>

<b>1.3.2 Chuẩn mực đạo đức – The Ten Commandments of Computer Ethics </b>

1. Use a computer to harm other people.

2. Interfere with other people's computer work.

3. Snoop around in other people's computer files.

4. Use a computer to steal.

5. Use a computer to bear false witness.

6. Copy or use proprietary software for which you

have not paid.

7. Use other people's computer resources without

authorization or proper compensation.

</div>
<span class='text_page_counter'>(44)</span><div class='page_container' data-page=44>

I. Đạo đức trong IS – 1.3. Chuẩn mực hành vi đạo đức

<b>Thou shalt </b>

<b>1.3.2 Chuẩn mực đạo đức – The Ten Commandments of Computer Ethics </b>

9. think about the social consequences of the

program you are writing or the system you

are designing.

10.always use a computer in ways that insure

consideration and respect for your fellow

</div>
<span class='text_page_counter'>(45)</span><div class='page_container' data-page=45>

II. An ninh Hệ thống thông tin

2.1. System Vulnerability and Abuse – Khả năng dễ bị tổn
thương và lạm dụng của IS

2.2. Business Value of Security and Control

2.2. Biện pháp quản trị an ninh Establishing a Framework
for Security and Control

2.3. Phòng chống các hiểm họa an ninh Technologies and

Tools for Protecting Information Resources 45

<b>Video Case </b>

– Google_data_center_security_YouTube (7-00)

Yêu cầu

:

Ghi nhận và phân loại

</div>
<span class='text_page_counter'>(46)</span><div class='page_container' data-page=46>

II. An ninh hệ thống thông tin

</div>
<span class='text_page_counter'>(47)</span><div class='page_container' data-page=47>

II. An ninh hệ thống thông tin – 2.1. Rủi ro trong IS

• <b>An ninh</b>:

Chính sách, thủ tục và biện pháp kỹ thuật được sử dụng
để ngăn chặn truy cập trái phép, thay đổi, trộm cắp, hoặc
thiệt hại vật chất cho hệ thống thơng tin

• <b>Kiểm sốt</b>:

Phương pháp, chính sách, thủ tục để đảm bảo an toàn
cho tài sản của tổ chức; độ chính xác và tin cậy của hồ
sơ kế toán; và việc tuân thủ tiêu chuẩn quản lý của các
hoạt động tác nghiệp.

<i>07-47 </i>

</div>
<span class='text_page_counter'>(48)</span><div class='page_container' data-page=48>

II. An ninh hệ thống thông tin – 2.1. Rủi ro trong IS
• Rủi ro khách quan, thiên tai

– Mất điện, hỏa hạn
– Chuột bọ …

• Rủi ro về hệ thống hạ tầng
(thiết bị, phần mềm và

đường truyền)  mất cắp,
hư hỏng, Wifi …

• Rủi ro do con người: trong
và ngồi tổ chức

</div>
<span class='text_page_counter'>(49)</span><div class='page_container' data-page=49>

II. An ninh hệ thống thông tin – 2.1. Rủi ro trong IS

Chưa có sự phân biệt rõ ràng về các đối tượng xâm hại IS

• <b>Bốn loại chính </b>

– Nhân viên hiện và đã làm việc trong tổ chức

• 85-95% việc xâm hại đến hoạt động kinh doanh là từ
nguồn bên trong

– Các cá nhân có chun mơn kỹ thuật thực hiện vì mưu
lợi riêng

– Tội phạm chuyên nghiệp sử dụng máy tính để hỗ trợ
thực hiện hành vi tội phạm

– Crackers bên ngồi tìm kiếm các thơng tin có giá trị

• Khoảng 12% sự tấn công của crackers gây nguy hại

<i>11-49 </i>

</div>
<span class='text_page_counter'>(50)</span><div class='page_container' data-page=50>

II. An ninh hệ thống thông tin – 2.1. Rủi ro trong IS

<b>Minh họa </b>

</div>
<span class='text_page_counter'>(51)</span><div class='page_container' data-page=51>

<i>07-51 </i>

II. An ninh hệ thống thông tin – 2.1. Rủi ro trong IS

<b>Hackers – </b>cá nhân truy cập trái phép vào IS
• Xuất hiện vào những năm 1960s

• Ban đầu vì mục đích tìm hiểu khơng gây hại

<b>Crackers </b>– cá nhân đột nhập hệ thống máy tính với ý đồ
xâm hại hoặc thực hiện hành vi phạm tội.

<b>Hacking and Cracking </b>

<b>Cyberterrorism </b>– sử dụng máy tính và mạng để gây nguy

</div>
<span class='text_page_counter'>(52)</span><div class='page_container' data-page=52>

II. An ninh hệ thống thông tin – 2.1. Rủi ro trong IS
Tội phạm Mô tả

Data
diddling

Việc thay đổi dữ liệu vào và ra của 1 máy tính. Ví dụ:
nhân viên đột nhập vào hệ thống chấm công để thay đổi
số giờ làm việc, qua đó nâng thu nhập.

Salami
slicing

Hình thức data diddling với giá trị thay đổi đủ nhỏ để hệ

thống khơng phát hiện. Ví dụ nhân viên ngân hàng rút
vài trăm đồng từ hàng ngàn tài khoản để chuyển vào tài
khoản đăng ký bằng tên giả.

Phreaking Tấn cơng máy tính của cơng ty viễn thông nhằm thực
hiện các cuộc gọi đường dài không mất tiền

Cloning Tấn công mạng di động qua đánh cắp mã số máy người
khác để sử dụng dịch vụ cell phone “không tốn tiền”

</div>
<span class='text_page_counter'>(53)</span><div class='page_container' data-page=53>

<i>07-53 </i>

II. An ninh hệ thống thông tin – 2.1. Rủi ro trong IS

Tội phạm Mô tả

Piggybacking/

shoulder-surfing

Xem lén số PIN khi nạn nhân rút tiền thẻ ATM 
làm giả thẻ để rút tiền của nạn nhân

Social

Engineering

Mạo danh nhà báo, nhân viên điện thoại, hoặc
người thân để nạn nhân tiết lộ mật khẩu và các

thông tin khác. Thông tin đó được dùng để đột nhập
vào hệ thống máy tính để lấy cắp

Dumpster
diving

Đơn giản là moi rác văn phòng để lấy cắp chứng từ,
tài liệu ….

Spoofing Lấy cắp tài khoản bằng cách giả mạo màn hình
đăng nhập

</div>
<span class='text_page_counter'>(54)</span><div class='page_container' data-page=54>

II. An ninh hệ thống thông tin

</div>
<span class='text_page_counter'>(55)</span><div class='page_container' data-page=55>

<i>07-55 </i>

II. An ninh Hệ thống Thông tin – 2.2. Quản trị an ninh HTTT

<b>Quản trị an ninh hệ thống thông tin – </b>Các biện pháp phòng
chống giữ cho tất cả các lãnh vực hoạt động hệ thống thông
tin được an toàn khỏi các hành vi truy cập trái phép

<b>Các biện pháp quản trị an toàn </b>

Quản trị rủi ro Kiểm sốt _{truy xuất}

Chính sách và
thủ tục an ninh
Sao lưu và

phục hồi

</div>
<span class='text_page_counter'>(56)</span><div class='page_container' data-page=56>

II. An ninh Hệ thống Thông tin – 2.2. Quản trị an ninh HTTT

• <b>Kiểm toán mức độ an ninh</b> nhận dạng mọi lĩnh vực hệ thống
thơng tin và các q trình kinh doanh

• <b>Phân tích rủi ro </b>xác định giá trị và tổn thất tài sản bảo vệ

• <b>Xây dựng phương án </b>dựa trên phân tích rủi ro

<i>– Giảm thiểu rủi ro </i>– hiện thực các phương án tích cực để
bảo vệ hệ thống (e.g. firewalls)

<i>– Chấp nhận rủi ro </i>– Xử lý khi rủi ro phát sinh

<i>– Chuyển đổi rủi ro </i>– e.g. mua bảo hiểm

</div>
<span class='text_page_counter'>(57)</span><div class='page_container' data-page=57>

II. An ninh Hệ thống Thông tin – 2.2. Quản trị an ninh HTTT

Biện pháp đảm bảo an ninh bằng cách <i>chỉ cho phép truy xuất </i>
<i>những gì cần để làm việc </i>

• <b>Xác thực (Authentication) </b>– xác thực nhân thân trước khi truy
xuất (e.g. passwords)

• <b>Cấp quyền truy xuất (Access Control) </b>– chỉ cấp quyền trong
những lĩnh vực của hệ thống mà người dùng được quyền
(e.g. accouting)

<i>07-57 </i>

</div>
<span class='text_page_counter'>(58)</span><div class='page_container' data-page=58>

II. An ninh Hệ thống Thông tin – 2.2. Quản trị an ninh HTTT

</div>
<span class='text_page_counter'>(59)</span><div class='page_container' data-page=59>

II. An ninh Hệ thống Thông tin – 2.2. Quản trị an ninh HTTT

<b>Acceptable Use Policies </b>– Tài liệu chính thức về cách thức sử
dụng, mục tiêu và các xử lý khi không phù hợp

– WHO  Phân loại đối tượng sử dụng hệ thống  người
dùng tin cậy và “cần chăm sóc”

– HOW  phương thức quản lý và xử lý

<i>07-59 </i>

</div>
<span class='text_page_counter'>(60)</span><div class='page_container' data-page=60>

II. An ninh Hệ thống Thông tin – 2.2. Quản trị an ninh HTTT

• <b>Sao lưu </b>– định kỳ sao chép dự phòng các dữ liệu hệ thống
thiết yếu và lưu vào nơi an tồn (e.g. backup tape)

• <b>Hoạch định phục hồi sự cố </b>– các thủ tục chi tiết dược dùng để
khôi phục khả năng truy xuất đến các hệ thống chủ yếu

(e.g. viruses hay hỏa hoạn)

• <b>Phục hồi sự cố </b>– thực hiện các thủ tục phục hồi bằng cách
dùng công cụ backup để phục hồi hệ thống về trạng thái
gần nhất trước khi nó bị tổn thất

</div>
<span class='text_page_counter'>(61)</span><div class='page_container' data-page=61>

<i>07-61 </i>

II. An ninh Hệ thống Thông tin – 2.2. Quản trị an ninh HTTT

<b>Thống kê các kỹ thuật an toàn được sử dụng (%đvị khảo sát) </b>

</div>
<span class='text_page_counter'>(62)</span><div class='page_container' data-page=62>

II. An ninh Hệ thống Thông tin – 2.2. Quản trị an ninh HTTT

<b>Kế hoạch an ninh IS – </b> văn bản tổng hợp tất cả biện pháp được
chuẩn bị sẵn để bảo vệ tài sản thông tin của tổ chức

<i>Ba nội dung phải thực hiện </i>

• <b>Security Audit </b>– Xác định tất cả các tài sản về IS của tổ chức
gồm phần cứng, phần mềm, tài liệu, các quy trình thủ tục,
con người, dữ liệu, phương tiện và nguồn cung cấp.

• <b>Risk Analysis </b>– Xác định tất cả các rủi ro có thể xảy ra gây
tổn thất đến tài sản thông tin. Xếp hạng theo tần suất xuất
hiện. Ước lượng tổn thất đối với từng rủi ro bao gồm cả tổn
thất về kinh doanh

• <b>Alternatives</b> – Đối với từng rủi ro, xác định các phương án

</div>
<span class='text_page_counter'>(63)</span><div class='page_container' data-page=63>

II. An ninh Hệ thống Thông tin – 2.2. Quản trị an ninh HTTT

<b>Trình tự xây dựng </b>kế hoạch an ninh HTTT – 5 bước

<b>Bước 1. Phân tích rủi ro </b>

• Xác định giá trị thơng tin số của tổ chức

• Đánh giá mối đe dọa đến tính bảo mật, tính tồn vẹn và tính
sẵn sàng của thơng tin

• Xác định hoạt động dễ gây tổn thương đến hệ thống
• Đánh giá chính sách an ninh hiện tại

• Đề nghị thay đổi phương thức hiện có để cải thiện an ninh

<i>7-63 </i>

</div>
<span class='text_page_counter'>(64)</span><div class='page_container' data-page=64>

II. An ninh Hệ thống Thông tin – 2.2. Quản trị an ninh HTTT

<b>Bước 2. Các chính sách và thủ tục </b>– hành động được thực hiện
nếu có sự vi phạm an ninh

<i>• Information Policy </i>– xử lý các thơng tin nhạy cảm

<i>• Security Policy </i>– kiểm soát về kỹ thuật vấn đề an ninh IS
của tổ chức

<i>• Use Policy </i>– quy định việc sử dụng trong nội bộ tổ chức

<i>• Backup Policy </i>– chính sách sao lưu

<i>• Account Management Policy </i>– thủ tục thêm người dùng mới

<i>• Incident Handling Procedures </i>– xử lý vi phạm an ninh

<i>• Disaster Recovery Plan </i>– phục hồi hoạt động máy tính

</div>
<span class='text_page_counter'>(65)</span><div class='page_container' data-page=65>

II. An ninh Hệ thống Thơng tin – 2.2. Quản trị an ninh HTTT

<b>Bước 3. Triển khai thực hiện </b>

• Triển khai các biện pháp an ninh về phần cứng, phần mềm
và an ninh mạng

• Phổ biến ID và smart cards.

• Phân công trách nhiệm của bộ phận IS

<b>Bước 4. Đào tạo nhân viên của tổ chức </b>
<b>Bước 5. Kiểm toán </b>

• Đánh giá việc tn thủ chính sách
• Kiểm tra thâm nhập

<i>7-65 </i>

</div>
<span class='text_page_counter'>(66)</span><div class='page_container' data-page=66>

II. An ninh Hệ thống Thông tin – 2.2. Quản trị an ninh HTTT

<b>Disaster Recovery Plan</b>

• Xác định thời gian phục hồi khi có sự cố

 Thời gian phục hồi tối đa cho phép ??

• Xác định trạng thái khơi phục

 Phương án backup: định kỳ, thường xuyên

</div>
<span class='text_page_counter'>(67)</span><div class='page_container' data-page=67></div>

<!--links-->