Tải bản đầy đủ (.pdf) (98 trang)
  1. Trang chủ
    2. >>
  2. Thạc sĩ - Cao học
    3. >>
  3. Công nghệ thông tin

Xây dựng quy trình đánh giá an toàn thông tin theo cấp độ

Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (2.64 MB, 98 trang )

..

BỘ GIÁO DỤC VÀ ĐÀO TẠO
TRƯỜNG ĐẠI HỌC BÁCH KHOA HÀ NỘI
---------------------------------------

Nguyễn Thị Thùy Dung

XÂY DỰNG QUY TRÌNH ĐÁNH GIÁ
AN TỒN THƠNG TIN THEO CẤP ĐỘ

Chun ngành: Cơng nghệ thơng tin

LUẬN VĂN THẠC SĨ KỸ THUẬT
CÔNG NGHỆ THÔNG TIN

NGƯỜI HƯỚNG DẪN KHOA HỌC: TS. VŨ THỊ HƯƠNG GIANG

Hà Nội – Năm 2018


LỜI CẢM ƠN
Em xin chân thành bày tỏ lòng biết ơn sâu sắc đến TS. Vũ Thị Hương Giang
- Viện Công nghệ thông tin và Truyền thông – Trường Đại học Bách Khoa Hà Nội người đã tận tình hướng dẫn, chỉ bảo, giúp đỡ em thực hiện và hoàn thành luận văn
tốt nghiệp.
Em xin chân thành cảm ơn các thầy, cô giáo - Viện Công nghệ Thông tin và
Truyền thông - Trường Đại học Bách Khoa Hà Nội, những người đã tận tình truyền
đạt các kiến thức, quan tâm, động viên em trong suốt thời gian em học tập và
nghiên cứu tại Trường.
Em cũng xin gửi lời cảm ơn đến gia đình, bạn học, đồng nghiệp đã ln động
viên giúp đỡ, chia sẻ kinh nghiệm cung cấp các tài liệu hữu ích trong suốt thời gian


tơi học tập và đặc biệt là trong quá trình thực hiện luận văn tốt nghiệp vừa qua.
Trong quá trình nghiên cứu, tìm hiểu và thực nghiệm luận văn chắc chắn
không thể tránh khỏi những sai sót nhất định, em rất mong nhận được sự góp ý của
thầy, cơ giáo và các bạn để luận văn được hoàn chỉnh hơn.
Em xin trân trọng cảm ơn!
Hà Nội, tháng 4 năm 2018
Tác giả luận văn

Nguyễn Thị Thùy Dung

2


LỜI CAM ĐOAN
Tôi xin cam đoan:
1. Những nội dung trong luận văn này là cơng trình nghiên cứu của tơi dưới
sự hướng dẫn trực tiếp của TS. Vũ Thị Hương Giang.
2. Mọi nguồn tài liệu tham khảo dùng trong luận văn đều được trích dẫn rõ
ràng tên tác giả, tên cơng trình, thời gian, địa điểm cơng bố.
3. Các số liệu, kết quả nêu trong luận văn là trung thực và chưa từng được ai
công bố trong bất kỳ công trình nào khác.
4. Mọi sao chép khơng hợp lệ, vi phạm quy chế đào tạo tơi xin chịu hồn
tồn trách nhiệm.
Hà Nội, tháng 4 năm 2018
Tác giả luận văn

Nguyễn Thị Thùy Dung

3



MỤC LỤC
TRANG PHỤ BÌA......................................................................................................1
LỜI CẢM ƠN .............................................................................................................2
LỜI CAM ĐOAN .......................................................................................................3
DANH MỤC CÁC KÝ HIỆU, CÁC TỪ VIẾT TẮT .................................................8
DANH MỤC CÁC HÌNH VẼ.....................................................................................9
DANH MỤC CÁC BẢNG BIỂU .............................................................................10
MỞ ĐẦU ...................................................................................................................12
1. Lý do chọn đề tài, tính cấp thiết của đề tài .......................................................12
2. Mục tiêu, nhiệm vụ, đối tượng, phạm vi và phương pháp nghiên cứu .............13
3. Cấu trúc của luận văn ........................................................................................15
CHƯƠNG 1: TỔNG QUAN VỀ AN TỒN THƠNG TIN, ĐÁNH GIÁ AN TỒN
THƠNG TIN .............................................................................................................16
1.1. An tồn thơng tin ............................................................................................16
1.1.1. Một số khái niệm.....................................................................................16
1.1.2. Những nguyên tắc cơ bản an tồn thơng tin ...........................................16
1.2. Đánh giá an tồn thơng tin .............................................................................16
1.2.1. Phân loại cấp độ an toàn HTTT ..............................................................17
1.2.2. Nguyên tắc xác định cấp độ an toàn HTTT ............................................17
1.2.3. Tiêu chí xác định cấp độ an tồn HTTT .................................................19
1.3. Thực trạng việc đánh giá an tồn thơng tin ở Việt Nam và trên thế giới.......21
1.4. Phương pháp đánh giá an tồn cơng nghệ thơng tin TCVN 11386:2016
(ISO/IEC 18045:2008) ..........................................................................................24
1.4.1. Tổng quan về TCVN 11386:2016 ...........................................................24

4


1.4.2. Mơ hình đánh giá ....................................................................................24

1.5. Định hướng và giải pháp ................................................................................26
CHƯƠNG 2: ĐỀ XUẤT QUY TRÌNH ĐÁNH GIÁ AN TỒN THƠNG TIN
THEO CẤP ĐỘ.........................................................................................................28
2.1. Đề xuất quy trình đánh giá an tồn thơng tin theo cấp độ .............................28
2.1.1. Sơ đồ tổng quan đánh giá an tồn thơng tin theo cấp độ ........................28
2.1.2. Chi tiết quy trình đánh giá an tồn thơng tin theo cấp độ .......................36
2.1.2.1. Chú thích về quy tắc vẽ quy trình đánh giá an tồn thơng tin theo
cấp độ ............................................................................................................36
2.1.2.2. Sơ đồ quy trình đánh giá an tồn thơng tin theo cấp độ...................36
2.1.2.3. Mơ tả các bước thực hiện .................................................................38
2.1.3. Quy trình tiếp nhận/ xử lý hồ sơ .............................................................52
2.1.4. Quy trình thẩm định hồ sơ đề xuất ..........................................................52
2.1.5. Quy trình đánh giá an tồn thơng tin theo cấp độ ...................................54
2.1.6. Quy trình kết luận đánh giá an tồn thơng tin theo cấp độ .....................55
2.2. Mơ hình chuyển đổi trạng thái của hồ sơ .......................................................55
2.2.1. Danh sách trạng thái trong quy trình .......................................................55
2.2.1.1. Trạng thái hồ sơ................................................................................55
2.2.1.2. Trạng thái nộp hồ sơ bản cứng .........................................................57
2.2.1.3. Trạng thái thẩm định hồ sơ đề xuất cấp độ ......................................57
2.2.1.4. Trạng thái khảo sát đánh giá từng chỉ tiêu .......................................58
2.2.1.5. Trạng thái đánh giá tổng thể an tồn hệ thống thơng tin .................58
2.2.2. Mơ hình chuyển đổi trạng thái của hồ sơ ................................................59
2.3. Mơ hình xử lý ngoại lệ ...................................................................................63

5


2.4. Mơ hình phân quyền theo các bước trong quy trình ......................................64
2.4.1. Danh sách tác nhân tham gia ...................................................................64
2.4.2. Phân quyền theo chức năng hệ thống......................................................65

2.4.3. Phân quyền phạm vi khai thác dữ liệu ....................................................69
2.5. Mơ hình Quản lý nhật ký hệ thống ................................................................70
2.6. Sơ đồ phân cấp chức năng theo quy trình đề xuất .......................................71
2.6.1. Mơ hình chức năng website ....................................................................71
2.6.2. Nhóm chức năng hỗ trợ người dùng .......................................................72
2.6.3. Nhóm chức năng dành cho Chuyên viên tiếp nhận/xử lý hồ sơ .............73
2.6.4. Nhóm chức năng dành cho Chuyên viên thẩm định hồ sơ đề xuất cấp độ
...........................................................................................................................74
2.6.5. Nhóm chức năng dành cho Chuyên viên đánh giá an toàn hệ thống thơng
tin.......................................................................................................................75
2.6.6. Nhóm chức năng dành cho Đối tượng kiểm tra, đánh giá ......................76
2.6.7. Nhóm chức năng dành cho Quản trị hệ thống ........................................77
2.7. Mơ hình ca sử dụng ........................................................................................79
2.7.1. Biểu đồ ca sử dụng ..................................................................................79
2.7.2. Biểu đồ gói ca sử dụng ............................................................................80
2.7.2.1. Quản trị người dùng và phân quyền kiểm soát ................................80
2.7.2.2. Quản lý nhật ký hệ thống .................................................................81
2.7.2.3. Biểu đồ thống kê trạng thái ..............................................................81
2.7.2.4. Thống kê...........................................................................................82
CHƯƠNG 3: THỬ NGHIỆM ...................................................................................84
3.1. Kiến trúc hệ thống ..........................................................................................84

6


3.2. Công cụ được sử dụng....................................................................................84
3.3. Kịch bản thử nghiệm ......................................................................................85
3.3.1. Danh sách tài khoản ................................................................................85
3.3.2. Kịch bản kiểm thử theo luồng thơng tin trong quy trình ........................87
3.3.3. Kịch bản kiểm thử xử lý ngoại lệ đối với với trường hợp đối tượng kiểm

tra, đánh giá cập nhật hồ sơ đề xuất cấp độ theo biểu mẫu ...............................88
3.4. Kết quả và đánh giá kết quả thử nghiệm ........................................................90
3.4.1. Kết quả xây dựng chương trình...............................................................90
3.4.2. Đánh giá ..................................................................................................95
KẾT LUẬN, HƯỚNG PHÁT TRIỂN ......................................................................96
1. Kết luận .............................................................................................................96
2. Những vấn đề còn tồn tại ..................................................................................96
3. Hướng phát triển ...............................................................................................97
TÀI LIỆU THAM KHẢO .........................................................................................98

7


DANH MỤC CÁC KÝ HIỆU, CÁC TỪ VIẾT TẮT
Ký hiệu

Tiếng Việt

HTTT

Hệ thống thông tin

CNTT

Công nghệ thông tin

CSDL

Cơ sở dữ liệu


ATTT

An tồn thơng tin

ATHTTT

An tồn hệ thống thơng tin

BTTTT

Bộ Thơng tin Truyền thơng

VNISA

Hiệp hội an tồn thơng tin Việt Nam

NSD

Người sử dụng

8


DANH MỤC CÁC HÌNH VẼ
Hình 1.1: Chỉ số an tồn thơng tin 2017 ...................................................................23
Hình 1.2: Tổng quan mơ hình đánh giá theo TCVN 11386:2016 ............................25
Hình 2.1: Sơ đồ tổng quan đánh giá an tồn thơng tin theo cấp độ ..........................31
Hình 2.2: Sơ đồ quy trình đánh giá an tồn thơng tin theo cấp độ ...........................37
Hình 2.3: Quy trình tiếp nhận/xử lý hồ sơ ................................................................52
Hình 2.4: Quy trình thẩm định hồ sơ đề xuất cấp độ ................................................53

Hình 2.5: Quy trình đánh giá an tồn thơng tin theo cấp độ .....................................54
Hình 2.6: Quy trình kết luận đánh giá an tồn thơng tin theo cấp độ .......................55
Hình 2.7: Luồng biểu đồ chuyển trạng thái của hồ sơ ..............................................62
Hình 2.8: Xử lý ngoại lệ với trường hợp đối tượng kiểm tra, đánh giá cập nhật hồ sơ
đề xuất cấp độ theo biểu mẫu ....................................................................................63
Hình 2.9: Mơ hình chức năng ...................................................................................71
Hình 2.10: Biểu đồ ca sử dụng chương trình đánh giá ATTT ..................................79
Hình 2.11: Biểu đồ ca sử dụng Quản trị người dùng và phân quyền kiểm sốt .......80
Hình 2.12: Biểu đồ ca sử dụng Quản lý nhật ký hệ thống ........................................81
Hình 2.13: Biểu đồ ca sử dụng biểu đồ thống kê trạng thái hồ sơ ............................82
Hình 2.14: Biểu đồ ca sử dụng Thống kê..................................................................82
Hình 3.1: Giao diện đăng nhập chương trình ............................................................90
Hình 3.2: Giao diện chương trình đánh giá an tồn thơng tin theo cấp độ ...............91
Hình 3.3: Giao diện phân quyền theo các bước trong quy trình ...............................91
Hình 3.4: Giao diện chức năng xử lý luồng thơng tin trong quy trình......................92
Hình 3.5: Giao diện lịch sử trạng thái hồ sơ theo nhóm người dùng trong quy trình
...................................................................................................................................93
Hình 3.6: Giao diện quản lý nhật ký hệ thống ..........................................................93
Hình 3.7: Giao diện chức năng thống kê số lượng hồ sơ xử lý theo người dùng .....94
Hình 3.8: Giao diện thống kê nhanh .........................................................................95

9


DANH MỤC CÁC BẢNG BIỂU
Bảng 2.1: Chú thích về quy tắc vẽ quy trình đánh giá an tồn thơng tin theo cấp độ
...................................................................................................................................36
Bảng 2.2: Mô tả các bước thực hiện trong quy trình đánh giá an tồn thơng tin theo
cấp độ ........................................................................................................................38
Bảng 2.3: Danh sách trạng thái của hồ sơ .................................................................56

Bảng 2.4: Danh sách trạng thái nộp hồ sơ bản cứng .................................................57
Bảng 2.5: Danh sách trạng thái thẩm định hồ sơ đề xuất cấp độ ..............................57
Bảng 2.6: Danh sách trạng thái khảo sát đánh giá từng chỉ tiêu ...............................58
Bảng 2.7: Danh sách trạng thái đánh giá tổng thể an toàn hệ thống thông tin .........59
Bảng 2.8: Thao tác làm thay đổi trạng thái của hồ sơ đối của mỗi vai trò trong hệ
thống ..........................................................................................................................59
Bảng 2.9: Danh sách tác nhân tham gia hệ thống .....................................................64
Bảng 2.10: Danh sách quyền kiểm soát ....................................................................67
Bảng 2.11: Bảng thuộc tính nhóm người dùng .........................................................68
Bảng 2.12: Bảng thuộc tính thơng tin chức năng ......................................................68
Bảng 2.13: Bảng thuộc tính phân quyền cho nhóm người dùng ...............................68
Bảng 2.14: Bảng thuộc tính thơng tin người dùng ....................................................69
Bảng 2.15: Bảng thuộc tính thơng tin phạm vi khai thác ..........................................69
Bảng 2.16: Bảng thuộc tính thơng tin hồ sơ được phân quyền theo phạm vi khai thác
...................................................................................................................................70
Bảng 2.17: Bảng thuộc tính thơng tin nhật ký hệ thống ...........................................70
Bảng 2.18: Nhóm chức năng hỗ trợ người dùng.......................................................73
Bảng 2.19: Nhóm chức năng dành cho Chuyên viên tiếp nhận/xử lý hồ sơ .............73
Bảng 2.20: Nhóm chức năng dành cho Chuyên viên thẩm định hồ sơ đề xuất cấp độ
...................................................................................................................................75
Bảng 2.21: Nhóm chức năng dành cho Chun viên đánh giá an tồn HTTT .........76
Bảng 2.22: Nhóm chức năng dành cho Đối tượng kiểm tra, đánh giá ......................76
Bảng 2.23: Nhóm chức năng dành cho Quản trị hệ thống ........................................78

10


Bảng 3.1: Cơng cụ sử dụng xây dựng chương trình .................................................85
Bảng 3.2: Danh sách tài khoản hệ thống ...................................................................86
Bảng 3.3: Kịch bản kiểm thử theo luồng thông tin trong quy trình ..........................87

Bảng 3.4: Kịch bản kiểm thử xử lý ngoại lệ đối với với trường hợp đối tượng kiểm
tra, đánh giá cập nhật hồ sơ đề xuất cấp độ theo biểu mẫu .......................................89

11


MỞ ĐẦU
1. Lý do chọn đề tài, tính cấp thiết của đề tài
Trong những năm gần đây, hệ thống thông tin mạng của các doanh nghiệp
cũng như các cơ quan nhà nước đang đứng trước nhiều mối đe dọa về an tồn thơng
tin, việc đẩy mạnh cơng tác đảm bảo an tồn thơng tin mạng đang là nhu cầu cấp
thiết đối với tất cả các đơn vị. Việc bảo đảm an tồn hệ thống thơng tin trong hoạt
động của cơ quan, tổ chức cần được thực hiện thường xuyên, liên tục và tuân theo
các tiêu chuẩn đánh giá an toàn thông tin đã được công bố.
Theo quy định của Luật An tồn thơng tin mạng có hiệu lực từ ngày
01/07/2016, để áp dụng biện pháp quản lý và kỹ thuật nhằm bảo vệ hệ thống thông
tin phù hợp theo cấp độ, trước hết cần phân loại, xác định cấp độ an tồn thơng tin
của hệ thống thơng tin, với 5 cấp độ tăng dần từ 1 đến 5. Để hướng dẫn thi hành
Luật An tồn thơng tin mạng, vào ngày 01/07/2016, Chính phủ đã ban hành Nghị
định 85/2016/NĐ-CP (Về đảm bảo an tồn hệ thống thơng tin theo cấp độ) quy định
chi tiết về tiêu chí, thẩm quyền, trình tự, thủ tục xác định cấp độ an tồn hệ thống
thơng tin và trách nhiệm bảo đảm an toàn hệ thống thơng tin theo từng cấp độ. Tại
Nghị định này, Chính Phủ đã giao Bộ Thông tin và Truyền thông hướng dẫn chi tiết
việc xác định hệ thống thông tin theo cấp độ; ban hành quy định văn bản hướng dẫn
về bảo đảm an tồn thơng tin theo cấp độ,… Ngày 24/04/2017, Bộ Thông tin và
Truyền thông cũng đã ban hành Thông tư 03/2017/TT-BTTTT quy định chi tiết và
hướng dẫn một số điều của Nghị định 85/2016/NĐ-CP. Thông tư bao gồm 7
Chương, 19 Điều và 5 Phụ lục, thông tư 03/2017/TT-BTTTT của Bộ Thơng tin và
Truyền thơng có hiệu lực thi hành từ ngày 1/7/2017. Bên cạnh việc hướng dẫn các
chủ quản hệ thống thông tin về cách xác định hệ thống và cấp độ an tồn hệ thống

thơng tin, Thơng tư 03/2017/TT-BTTTT cũng quy định cụ thể về các yêu cầu bảo
đảm an tồn hệ thống thơng tin theo cấp độ; đồng thời hướng dẫn việc kiểm tra,
đánh giá an tồn thơng tin và một số cơng tác liên quan đến việc bảo đảm an tồn
thơng tin.

12


Mặc dù đã có những văn bản quy định và hướng dẫn như trên, tuy nhiên việc
triển khai thực tế cịn gặp nhiều khó khăn. Chính vì vậy, xây dựng một quy trình
đánh giá an tồn thơng tin theo cấp độ, nó sẽ là cơng cụ hỗ trợ thiết thực cho cơng
tác đánh giá an tồn thơng tin của các đơn vị, từ đó dễ dàng xác định được cấp độ
an toàn cũng như các phương án bảo đảm an toàn HTTT theo cấp độ cho các HTTT
ở Việt Nam hiện nay. Do đó, tơi chọn đề tài “Xây dựng quy trình đánh giá an tồn
thơng tin theo cấp độ” làm đề tài nghiên cứu cho luận văn của mình.
2. Mục tiêu, nhiệm vụ, đối tượng, phạm vi và phương pháp nghiên cứu
Mục tiêu: Mục đích của luận văn là nghiên cứu về việc đánh giá an tồn
thơng tin theo cấp độ và đề xuất ra một quy trình để đánh giá độ an tồn thơng tin
theo cấp độ có thể áp dụng để đánh giá độ an tồn thơng tin cho các HTTT ở Việt
Nam.
Nhiệm vụ: Để hoàn thành được mục tiêu của luận văn đưa ra và dễ dàng tiếp
cận được nội dung xây dựng quy trình đánh giá ATTT, trước tiên tác giả cần tìm
hiểu lý thuyết chung về an tồn thơng tin, đánh giá an tồn thơng tin theo cấp độ.
Từ đó, tác giả đề xuất ra một quy trình phục vụ việc đánh giá an tồn thơng tin theo
cấp độ. Bên cạnh đó, tác giả xây dựng mơ hình căn cứ theo các bước của quy trình
nhằm trực quan hóa được quy trình đánh giá an tồn thơng tin theo cấp độ:
1. Tác giả xây dựng mơ hình chuyển đổi trạng thái hồ sơ nhằm đưa ra một
tập trạng thái mà người dùng có thể nhìn thấy được, quản lý được số
lượng trạng thái trong quy trình. Đồng thời, tác giả cũng đưa ra luật
chuyển đổi trạng thái nhằm kiểm soát mức độ khai thác dữ liệu của mỗi

người dùng thuộc vai trò khác nhau.
2. Với mơ hình xử lý ngoại lệ, tác giả muốn đưa ra quy định cho phép thông
tin được xử lý trong quy trình. Từ việc quản lý được số lượng trạng thái
trong quy trình sẽ xác định được các nút tham gia vào quy trình, từ đó có
thể đưa ra được nguyên tắc chung trong việc kiểm soát xử lý dữ liệu khi
chuyển đổi giữa các vai trò, bên cạnh đó cũng đưa ra trường hợp tối ưu
quy định vai trò nào được phép thực hiện những luồng ngoại lệ gì.

13


3. Xây dựng mơ hình phân quyền theo các bước trong quy trình: Trong quy
trình đánh giá cấp độ an toàn được đề xuất, cảnh báo nguy cơ mất an tồn
thơng tin mạng cho các TT/CTTĐT, số lượng các đối tượng giám sát dữ
liệu cần quản lý là rất lớn. Từ đó cần phải giải quyết u cầu quản lý
thơng tin xác thực và phân quyền cho các tài khoản trong hệ thống một
cách nhất quán và linh hoạt. Mỗi chuyên viên sẽ chịu trách nhiệm quản lý
một phân vùng giám sát gồm các TT/CTTĐT và các phân hệ phần mềm
có liên quan. Chương trình đánh giá an tồn hệ thống thông tin sẽ cung
cấp chức năng hỗ trợ định nghĩa ra danh sách các vai trò (roles) để đảm
nhận các chức năng cơng việc khác nhau. Mỗi vai trị được gắn liền với
một số quyền hạn cho phép nó thao tác một số hoạt động cụ thể
('permissions'). Người dùng của hệ thống sẽ được phân một vai trò riêng,
và thơng qua việc phân vai trị này mà họ sẽ được cấp phát những quyền
hạn cho phép họ thi hành những chức năng cụ thể trong hệ thống
4. Xây dựng mơ hình Quản lý nhật ký hệ thống: Trong q trình vận hành hệ
thống, việc thực hiện thu thập các dữ liệu nhật ký truy cập cũng là một vấn
đề thiết thực. Quản lý nhật ký hệ thống nhằm phát hiện, cảnh báo nguy cơ
sự cố an tồn thơng tin mạng, các tấn công, bất thường. Thông tin nhật ký
được ghi nhận sẽ phục vụ cho việc tra vết hệ thống.

Đối tượng nghiên cứu của luận văn: Quy trình đánh giá an tồn thơng tin
theo cấp độ.
Phạm vi nghiên cứu: Quy trình đánh giá an tồn thơng tin theo cấp độ mà
tác giả đề xuất có thể xây dựng trên những ứng dụng khác nhau, trong phạm vi cho
phép của đề tài, tác giả sẽ trực quan hóa quy trình đánh giá an tồn thơng tin theo
cấp độ dưới dạng một website và thử nghiệm các module hỗ trợ hệ thống đánh giá
an tồn thơng tin theo cấp độ.
Phương pháp nghiên cứu: Tổng hợp lý thuyết (thu thập, tìm hiểu, phân
tích), đề xuất quy trình, xây dựng thử nghiệm và đánh giá.

14


Ý nghĩa khoa học và thực tiễn: Nghiên cứu, đề xuất quy trình đánh giá an
tồn thơng tin theo cấp độ được áp dụng ở Việt Nam đóng góp một quy trình giúp
cho việc đánh giá độ an tồn thơng tin cho các HTTT ở Việt Nam được thuận lợi,
dễ dàng, nhanh chóng hơn.
3. Cấu trúc của luận văn
Cấu trúc của luận văn bao gồm các phần như sau:
MỞ ĐẦU: Nội dung phần mở đầu chỉ ra lý do chọn đề tài; mục đích, đối
tượng, phạm vi nghiên cứu của luận văn; tóm tắt những điểm cơ bản và đóng góp
mới của tác giả và phương pháp nghiên cứu.
CHƯƠNG 1: TỔNG QUAN VỀ AN TỒN THƠNG TIN, ĐÁNH GIÁ
TỒN THƠNG TIN: Nội dung chương này trình bày những tìm hiểu lý thuyết về
an tồn thơng tin và đánh giá an tồn thơng tin cho các HTTT. Thực trạng việc đánh
giá an tồn thơng tin theo cấp độ ở Việt Nam.
CHƯƠNG 2: ĐỀ XUẤT QUY TRÌNH ĐÁNH GIÁ AN TỒN THƠNG
TIN THEO CẤP ĐỘ: Nội dung chương này trình bày đề xuất một quy trình đánh
giá an tồn thơng tin theo cấp độ, giúp cho việc đánh giá cấp độ an tồn thơng tin
của các HTTT ở Việt Nam được dễ dàng, phù hợp với các quy định của Nhà nước.

CHƯƠNG 3: THỬ NGHIỆM: Trực quan hóa quy trình đánh giá an tồn
thơng tin theo cấp độ đã đề xuất. Đánh giá về kết quả thử nghiệm đã đạt được.
KẾT LUẬN: Nội dung phần mở đầu, tác giả đã tổng kết về các kết quả đạt
được của luận văn, bên cạnh đó cũng có những vấn đề cịn tồn tại và từ đó tác giả
đưa ra hướng giải quyết và phát triển của đề tài.

15


CHƯƠNG 1: TỔNG QUAN VỀ AN TỒN THƠNG TIN, ĐÁNH GIÁ AN
TỒN THƠNG TIN
1.1. An tồn thơng tin
1.1.1. Một số khái niệm
Định nghĩa của an tồn thơng tin được nêu ra từ nhiều nguồn khác nhau,
chúng ta có thể hiểu theo khái niệm sau: An tồn thơng tin là hành động ngăn cản,
phòng ngừa sử dụng, truy cập, tiết lộ, chia sẻ, phát tán, ghi lại hoặc phá hủy thông
tin chưa có sự cho phép.
Theo điều 3 – Luật an tồn thơng tin mạng 2015, an tồn thơng tin mạng là
sự bảo vệ thông tin, hệ thống thông tin trên mạng tránh bị truy nhập, sử dụng, tiết
lộ, gián đoạn, sửa đổi hoặc phá hoại trái phép nhằm bảo đảm tính nguyên vẹn, tính
bảo mật và tính khả dụng của thơng tin.
1.1.2. Những ngun tắc cơ bản an tồn thơng tin
Để có thể xây dựng được hệ thống an tồn thông tin trong doanh nghiệp, cơ
quan nhà nước một cách hiệu quả nhất thì phải hiểu về mục tiêu và những nguyên
tắc cơ bản khi xây dựng hệ thống an tồn thơng tin trong doanh nghiệp. Mục tiêu để
xây dựng một hệ thống an tồn thơng tin phải đảm bảo ngun tắc cơ bản sau:
Tính Bảo mật: Đảm bảo thơng tin đó là duy nhất, những người muốn tiếp
cận phải được phân quyền truy cập.
Tính Tồn vẹn: Bảo vệ sự hồn chỉnh tồn diện cho hệ thống thơng tin.
Tính ln sẵn sàng: Việc bảo mật thông tin luôn phải sẵn sàng, có thể thực

hiện bất cứ đâu, bất cứ khi nào.
Tính chính xác: Thơng tin đưa ra phải chính xác, đầy đủ, không được sai
lệch hay không được vi phạm bản quyền nội dung.
1.2. Đánh giá an tồn thơng tin
Trong thực tế, đánh giá an tồn thơng tin là đánh giá mức độ an toàn của các
tài nguyên trong hệ thống thông tin. Chất lượng ATTT phải được đánh giá trên tồn
bộ các yếu tố đảm bảo tính an tồn cho hệ thống từ tổ chức, con người, an ninh vật
lý, quản lý tài nguyên … đến việc sử dụng các cơng cụ kỹ thuật. Nói cách khác,

16


chất lượng ATTT được đánh giá trên cơ sở thực thi các chính sách về ATTT trong
hệ thống. Các chính sách này được chuẩn hố và được cơng nhận là các tiêu chuẩn
về ATTT áp dụng trên phạm vi toàn thế giới. Trong phạm vi nghiên cứu của luận
văn, tác giả muốn đề cập đến phương thức đánh giá an tồn thơng tin là xác định
được cấp độ an tồn của các HTTT. Phương pháp tiếp cận xác định cấp độ an tồn
của HTTT là dựa vào thơng tin mà hệ thống đó trực tiếp tạo lập, xử lý, quản lý và
bảo vệ.
1.2.1. Phân loại cấp độ an toàn HTTT
Theo điều 21 – Luật an tồn thơng tin mang 2015, cấp độ an tồn HTTT có
thể được chia làm 5 cấp, xác định dựa vào mức độ tổn hại tới quyền và lợi ích hợp
pháp của tổ chức, cá nhân; trật tự an tồn xã hội, lợi ích cơng cộng; an ninh, quốc
phòng của đất nước khi hệ thống bị mất an tồn thơng tin như sau:
Cấp độ 1 là cấp độ mà khi bị phá hoại sẽ làm tổn hại tới quyền và lợi ích hợp
pháp của tổ chức, cá nhân nhưng khơng làm tổn hại tới lợi ích cơng cộng, trật tự, an
tồn xã hội, quốc phịng, an ninh quốc gia.
Cấp độ 2 là cấp độ mà khi bị phá hoại sẽ làm tổn hại nghiêm trọng tới quyền
và lợi ích hợp pháp của tổ chức, cá nhân hoặc làm tổn hại tới lợi ích cơng cộng
nhưng khơng làm tổn hại tới trật tự, an toàn xã hội, quốc phòng, an ninh quốc gia.

Cấp độ 3 là cấp độ mà khi bị phá hoại sẽ làm tổn hại nghiêm trọng tới sản
xuất, lợi ích cơng cộng và trật tự, an toàn xã hội hoặc làm tổn hại tới quốc phòng, an
ninh quốc gia.
Cấp độ 4 là cấp độ mà khi bị phá hoại sẽ làm tổn hại đặc biệt nghiêm trọng
tới lợi ích cơng cộng và trật tự, an toàn xã hội hoặc làm tổn hại nghiêm trọng tới
quốc phòng, an ninh quốc gia.
Cấp độ 5 là cấp độ mà khi bị phá hoại sẽ làm tổn hại đặc biệt nghiêm trọng
tới quốc phòng, an ninh quốc gia.
1.2.2. Nguyên tắc xác định cấp độ an toàn HTTT
Xác định cấp độ an tồn HTTT có thể theo ngun tắc tự định cấp theo
quyền hạn, nghĩa vụ của cơ quan chủ quản hoặc đơn vị vận hành, khai thác, sử dụng

17


HTTT. Cấp độ an toàn của hệ thống phải được xác định dựa vào mức tổn hại cao
nhất mà HTTT đó gây ra cho đối tượng thiệt hại khi bị mất ATTT. Bên cạnh đó, cơ
quan, tổ chức vận hành, khai thác và sử dụng HTTT có trách nhiệm trực tiếp trong
việc xác định cấp độ an toàn hệ thống. Việc xác định hệ thống thông tin để xác định
cấp độ căn cứ trên nguyên tắc như sau:
1. Hệ thống thơng tin chỉ có một chủ quản hệ thống thơng tin;
2. Hệ thống thơng tin có thể hoạt động độc lập, được thiết lập nhằm trực
tiếp phục vụ hoặc hỗ trợ hoạt động nghiệp vụ, sản xuất, kinh doanh cụ thể
của cơ quan, tổ chức thuộc một trong các loại hình hệ thống thơng tin quy
định:
 Hệ thống thơng tin phục vụ hoạt động nội bộ là hệ thống chỉ phục vụ hoạt
động quản trị, vận hành nội bộ của cơ quan, tổ chức, bao gồm: Hệ thống
thư điện tử; Hệ thống quản lý văn bản và điều hành; Hệ thống họp, hội
nghị truyền hình trực tuyến; Hệ thống quản lý thơng tin cụ thể (nhân sự,
tài chính, tài sản hoặc lĩnh vực chuyên môn nghiệp vụ cụ thể khác) hoặc

hệ thống quản lý thơng tin tổng thể (tích hợp quản lý nhiều chức năng,
nghiệp vụ khác nhau); Hệ thống xử lý thông tin nội bộ;
 Hệ thống thông tin phục vụ người dân, doanh nghiệp là hệ thống trực tiếp
hoặc hỗ trợ cung cấp dịch vụ trực tuyến, bao gồm dịch vụ công trực tuyến
và dịch vụ trực tuyến khác trong các lĩnh vực viễn thông, công nghệ
thông tin, thương mại, tài chính, ngân hàng, y tế, giáo dục và lĩnh vực
chuyên ngành khác, bao gồm: Hệ thống thư điện tử; Hệ thống quản lý
văn bản và điều hành; Hệ thống một cửa điện tử; Hệ thống trang, cổng
thông tin điện tử; Hệ thống cung cấp hoặc hỗ trợ cung cấp dịch vụ trực
tuyến; Hệ thống chăm sóc khách hàng;
 Hệ thống cơ sở hạ tầng thông tin là tập hợp trang thiết bị, đường truyền
dẫn kết nối phục vụ chung hoạt động của nhiều cơ quan, tổ chức, bao
gồm: Mạng nội bộ, mạng diện rộng, mạng truyền số liệu chuyên dùng;
Hệ thống cơ sở dữ liệu, trung tâm dữ liệu, điện toán đám mây; Hệ thống

18


xác thực điện tử, chứng thực điện tử, chữ ký số; Hệ thống kết nối liên
thơng, trục tích hợp các hệ thống thông tin;
 Hệ thống thông tin điều khiển cơng nghiệp là hệ thống có chức năng
giám sát, thu thập dữ liệu, quản lý và kiểm soát các hạng mục quan trọng
phục vụ điều khiển, vận hành hoạt động bình thường của các cơng trình
xây dựng, bao gồm: Hệ thống điều khiển lập trình được (PLCs); Hệ thống
điều khiển phân tán (DCS); Hệ thống giám sát và thu thập dữ liệu
(SCADA);
 Hệ thống thông tin khác là hệ thống thơng tin khơng thuộc các loại hình
trên, được sử dụng để trực tiếp phục vụ hoặc hỗ trợ hoạt động nghiệp vụ,
sản xuất, kinh doanh cụ thể của cơ quan, tổ chức theo lĩnh vực chuyên
ngành.

1.2.3. Tiêu chí xác định cấp độ an toàn HTTT
Từ việc phân loại cấp độ an toàn HTTT và nguyên tắc xác định cấp độ an
tồn HTTT, chúng ta có thể xác định được cấp độ an tồn HTTT dựa vào các tiêu
chí sau:
Tiêu chí xác định cấp độ 1: là hệ thống thông tin phục vụ hoạt động nội bộ
của cơ quan, tổ chức và chỉ xử lý thơng tin cơng cộng.
Tiêu chí xác định cấp độ 2: là hệ thống thơng tin có một trong các tiêu chí
cụ thể như sau:
 Hệ thống thông tin phục vụ hoạt động nội bộ của cơ quan, tổ chức và có
xử lý thơng tin riêng, thơng tin cá nhân của người sử dụng nhưng không
xử lý thơng tin bí mật nhà nước.
 Hệ thống thơng tin phục vụ người dân, doanh nghiệp thuộc một trong các
loại hình như sau: Cung cấp thơng tin và dịch vụ công trực tuyến từ mức
độ 2 trở xuống theo quy định của pháp luật; Cung cấp dịch vụ trực tuyến
không thuộc danh Mục dịch vụ kinh doanh có Điều kiện; Cung cấp dịch
vụ trực tuyến khác có xử lý thơng tin riêng, thông tin cá nhân của dưới
10.000 người sử dụng.

19


 Hệ thống cơ sở hạ tầng thông tin phục vụ hoạt động của một cơ quan, tổ
chức
Tiêu chí xác định cấp độ 3: là hệ thống thơng tin có một trong các tiêu chí
cụ thể như sau:
 Hệ thống thơng tin xử lý thơng tin bí mật nhà nước hoặc hệ thống phục
vụ quốc phòng, an ninh khi bị phá hoại sẽ làm tổn hại tới quốc phòng, an
ninh quốc gia.
 Hệ thống thông tin phục vụ người dân, doanh nghiệp thuộc một trong các
loại hình như sau: Cung cấp thông tin và dịch vụ công trực tuyến từ mức

độ 3 trở lên theo quy định của pháp luật; Cung cấp dịch vụ trực tuyến
thuộc danh Mục dịch vụ kinh doanh có Điều kiện; Cung cấp dịch vụ trực
tuyến khác có xử lý thơng tin riêng, thơng tin cá nhân của từ 10.000
người sử dụng trở lên.
 Hệ thống cơ sở hạ tầng thông tin dùng chung phục vụ hoạt động của các
cơ quan, tổ chức trong phạm vi một ngành, một tỉnh hoặc một số tỉnh.
 Hệ thống thông tin Điều khiển công nghiệp trực tiếp phục vụ Điều khiển,
vận hành hoạt động bình thường của các cơng trình xây dựng cấp II, cấp
III hoặc cấp IV theo phân cấp của pháp luật về xây dựng.
Tiêu chí xác định cấp độ 4: là hệ thống thơng tin có một trong các tiêu chí
cụ thể như sau:
 Hệ thống thơng tin xử lý thơng tin bí mật nhà nước hoặc hệ thống phục
vụ quốc phòng, an ninh, khi bị phá hoại sẽ làm tổn hại nghiêm trọng quốc
phòng, an ninh quốc gia.
 Hệ thống thông tin quốc gia phục vụ phát triển Chính phủ điện tử, yêu
cầu vận hành 24/7 và không chấp nhận ngừng vận hành mà không có kế
hoạch trước.
 Hệ thống cơ sở hạ tầng thơng tin dùng chung phục vụ hoạt động của các
cơ quan, tổ chức trên phạm vi toàn quốc, yêu cầu vận hành 24/7 và không
chấp nhận ngừng vận hành mà không có kế hoạch trước.

20


 Hệ thống thông tin Điều khiển công nghiệp trực tiếp phục vụ Điều khiển,
vận hành hoạt động bình thường của các cơng trình xây dựng cấp I theo
phân cấp của pháp luật về xây dựng.
Tiêu chí xác định cấp độ 5: là hệ thống thơng tin có một trong các tiêu chí
cụ thể như sau:
 Hệ thống thơng tin xử lý thơng tin bí mật nhà nước hoặc hệ thống phục

vụ quốc phòng, an ninh, khi bị phá hoại sẽ làm tổn hại đặc biệt nghiêm
trọng tới quốc phòng, an ninh quốc gia.
 Hệ thống thông tin phục vụ lưu trữ dữ liệu tập trung đối với một số loại
hình thơng tin, dữ liệu đặc biệt quan trọng của quốc gia.
 Hệ thống cơ sở hạ tầng thông tin quốc gia phục vụ kết nối liên thông hoạt
động của Việt Nam với quốc tế.
 Hệ thống thông tin Điều khiển công nghiệp trực tiếp phục vụ Điều khiển,
vận hành hoạt động bình thường của cơng trình xây dựng cấp đặc biệt
theo phân cấp của pháp luật về xây dựng hoặc cơng trình quan trọng liên
quan đến an ninh quốc gia theo pháp luật về an ninh quốc gia.
 Hệ thống thông tin khác theo quyết định của Thủ tướng Chính phủ.
1.3. Thực trạng việc đánh giá an tồn thơng tin ở Việt Nam và trên thế giới
Đứng trước thực trạng ATTT ngày càng diễn biến phức tạp và nguy hiểm
dẫn đến nhu cầu kiểm định, đánh giá chất lượng ATTT các sản phẩm và hệ thống
CNTT đã được quan tâm và phát triển mạnh tại nhiều nước trên thế giới. Những
nước đi đầu trong lĩnh vực này như Mỹ, Canada, Anh, … đã đưa ra hệ thống tiêu
chí đánh giá ATTT cho các hệ thống CNTT với nội dung ngày càng hoàn chỉnh như
Sách Da cam (năm 1983) – Tiêu chí đánh giá hệ thống máy tính được tin cậy
(TCSEC - Trusted Computer System Evaluation Criteria); sách Đỏ (năm 1987) –
Các hệ thống phân bố được bảo vệ; sách Hồng (năm 1991) – Cơ sở dữ liệu được
bảo vệ. Các nước châu Âu đưa ra Các tiêu chí an toàn CNTT (năm 1991)
(Information Technology Security Evaluation Criteria - ITSEC)...

21


Trên thế giới, các nước như Anh, Nga, Trung cũng đều đã xây dựng các tiêu
chí, tiêu chuẩn, phương pháp luận, quy định riêng về quy trình kiểm định, đánh giá
đối với sản phẩm ATTT. Mỹ đã ban hành các tiêu chuẩn và các hướng dẫn yêu cầu
kỹ thuật trong lĩnh vực này như Tiêu chuẩn FIPS-PUB-199 - Hướng dẫn phân loại

thông tin trong hệ thống; SP800-60 – Hướng dẫn xác định loại HTTT dựa vào loại
thông tin; FIPS PUB 200 – Xác định yêu cầu an toàn cơ bản cho HTTT; SP800-53
– Các biện pháp bảo đảm ATTT theo loại HTTT,... Theo đó, biện pháp bảo vệ được
xác định dựa vào loại thơng tin, thuộc tính của thơng tin (chia làm 3 loại thuộc tính),
cấp độ ảnh hưởng (chia thành 3 cấp độ). Cách phân loại này phức tạp, khó thực hiện
khi có nhiều loại HTTT và trong HTTT có nhiều loại thơng tin. Trung Quốc đã ban
hành các tiêu chuẩn về phân loại như: GB/T 22240-2008 - Hướng dẫn phân loại
HTTT; GBT 25058-2010 – Hướng dẫn thực hiện bảo vệ HTTT theo cấp độ,... Như
vậy, HTTT được xác định theo 5 cấp độ, xác định được yêu cầu về kỹ thuật, quản lý
tương ứng và hướng dẫn thực hiện bảo vệ HTTT theo cấp độ an toàn.
Tại Việt Nam, theo “Báo cáo tổng hợp kết quả điều tra, đánh giá thực trạng
an tồn thơng tin tại Việt Nam năm 2017” do Hiệp hội An tồn thơng tin Việt Nam
(VNISA) tiến hành cho thấy xu hướng phát triển ATTT là tích cực do ảnh hưởng
của Luật ATTT mạng và các quy định pháp lý mới. Nhưng bên cạnh đó, đại diện
VNISA đã công bố kết quả khảo sát hiện trạng, đánh giá chỉ số ATTT năm 2017 đối
với nhóm các doanh nghiệp. Theo đánh giá, chỉ số ATTT của các doanh nghiệp
đang rất thấp và chỉ ở mức trung bình.

22


Chỉ số an tồn thơng tin 2017
59.9
54.2
60
50
40
30
20
10

0

31.1

Tất cả nhóm Ngân hàng - tài Các doanh
chính (56)
nghiệp khác
doanh nghiệp
(304)
(360)
Hình 1.1: Chỉ số an tồn thơng tin 2017

VNISA đã tiến hành khảo sát hiện trạng ATTT của 360 doanh nghiệp tại 3
vùng trọng điểm Hà Nội, Thành phố Hồ Chí Minh, Đà Nẵng bao gồm 304 doanh
nghiệp vừa và nhỏ (SME) và 56 doanh nghiệp hoạt động trong lĩnh vực Ngân hàng
– Tài chính. Kết quả khảo sát cho thấy chỉ số ATTT trung bình của tất cả các nhóm
Doanh nghiệp Việt Nam chỉ đạt 54.2% là mức trung bình. Trong đó nhóm các
Doanh Nghiệp thuộc lĩnh vực tài chính ngân hàng đạt chỉ số 59.9% và nhóm các
doanh nghiệp khác là 31.1%. Các chỉ số thành phần bao gồm: Chính sách đầu tư,
kinh phí (44,8%); Nguyên tắc triển bảo đảm ATTT mạng (72,4%); Trình độ nhận
thức và đào tạo bồi dưỡng về ATTT (51,3%); Tổ chức và quản lý nhân lực bảo đảm
ATTT mạng (43,2%); Chính sách – pháp lý (60,9%); Ý thức lãnh đạo và chuyên gia
ATTT (78%); Hoạt động thực tiễn (19,8%); Biện pháp kỹ thuật (53,7%); và Biện
pháp quản lý (63,9%).
Với kết quả khảo sát trên cho thấy các doanh nghiệp có chỉ số ATTT thấp,
tương đương có nguy cơ mất ATTT mạng rất cao. Các doanh nghiệp cịn yếu trong
các khâu thiết lập, thực thi chính sách ATTT và hoạt động thực tiễn đảm bảo ATTT
mạng. Mặc dù đã được Chính phủ và Bộ TTTT ban hành các văn bản quy định,
hướng dẫn thực hiện, tuy nhiên việc đánh giá cịn gặp nhiều khó khăn do chưa có hệ


23


thống nào được xây dựng nhằm trực quan hóa quy trình đánh giá ATTT hỗ trợ các
cơ quan, doanh nghiệp.
Từ những thực trạng trên, cho thấy được việc quy định và hướng dẫn xác
định cấp độ an toàn HTTT nhằm đưa ra các yêu cầu bảo đảm an toàn cần thiết về kỹ
thuật và quản lý, làm cơ sở để xây dựng và ban hành các văn bản quản lý, tiêu
chuẩn, quy chuẩn liên quan đến bảo vệ an toàn HTTT theo cấp độ cịn gặp nhiều
khó khăn.
1.4. Phương pháp đánh giá an tồn cơng nghệ thơng tin TCVN 11386:2016
(ISO/IEC 18045:2008)
1.4.1. Tổng quan về TCVN 11386:2016
TCVN 11386:2016 do Học viện Cơng nghệ Bưu chính Viễn thơng biên soạn,
Bộ Thơng tin và Truyền thông đề nghị, Tổng cục Tiêu chuẩn Đo lường Chất lượng
thẩm định, Bộ Khoa học và Công nghệ cơng bố. TCVN 11386:2016 hồn tồn
tương đương với ISO/IEC 18045:2008 – phương pháp đánh giá an toàn CNTT. Đối
tượng hướng tới đối với tiêu chuẩn này chủ yếu là những người đánh giá áp dụng
TCVN 8709 (ISO/IEC 15408) – Các tiêu chí đánh giá an tồn CNTT. ISO/IEC
15408 sử dụng khái niệm "Đích đánh giá" (Target of Evaluation - TOE). TOE chính
là một sản phẩm CNTT cần được đánh giá. TOE được định nghĩa như là một tập
hợp các phần mềm, phần sụn (firmware) và/hoặc phần cứng đi kèm. TOE có thể là
một sản phẩm CNTT, một bộ phận của sản phẩm CNTT, một tập hợp các sản phẩm
CNTT, …
Tiêu chuẩn này là tài liệu đi kèm với các tiêu chí đánh giá an tồn cơng nghệ
thơng tin đã được quy định trong TCVN 8709 (ISO/IEC 15408), sử dụng tiêu chí và
bằng chứng đánh giá quy định trong TCVN 8709 (ISO/IEC 15408).
1.4.2. Mơ hình đánh giá
Mỗi một đánh giá đều theo quy trình như nhau và có bốn nhiệm vụ chung
của người đánh giá là: nhiệm vụ đầu vào, nhiệm vụ đầu ra, hoạt động con đánh giá

và sự thuyết minh về năng lực kỹ thuật đối với nhiệm vụ của tổ chức đánh giá. Dưới
đây là tổng quan về mối quan hệ giữa các nhiệm vụ này và các hoạt động con.
24


Hình 1.2: Tổng quan mơ hình đánh giá theo TCVN 11386:2016
Nhiệm vụ đầu vào và các nhiệm vụ đầu ra có liên quan đến quản lý bằng
chứng đánh giá và phát sinh báo cáo (Báo cáo quan sát (OR) và Báo cáo kỹ thuật
đánh giá (ETR)). Mỗi nhiệm vụ có các nhiệm vụ con liên quan được áp dụng và quy
định cho tất cả các đánh giá của TCVN 8709 (ISO/IEC 15408). Các Hoạt động con
đánh giá thay đổi tùy thuộc đó là đánh giá hồ sơ bảo vệ (PP) hay đích đánh giá
(TOE). Hơn nữa, trong trường hợp đánh giá TOE, hoạt động con phụ thuộc vào các
yêu cầu đảm bảo đã được chọn. Công việc được thực hiện và sự tham gia của các
vai trò khác nhau. Trong quy trình xác định đặc điểm của các vai trị sau: nhà bảo
trợ, nhà phát triển, người đánh giá và tổ chức đánh giá.
Nhà bảo trợ có trách nhiệm yêu cầu và hỗ trợ việc đánh giá. Điều này có
nghĩa là nhà bảo trợ thiết lập các thỏa thuận khác nhau cho việc đánh giá (ví dụ như
ủy thác đánh giá). Ngồi ra, nhà bảo trợ có trách nhiệm đảm bảo rằng người đánh
giá được cung cấp bằng chứng đánh giá.
Nhà phát triển tạo ra TOE và chịu trách nhiệm cung cấp các bằng chứng
được yêu cầu cho việc đánh giá (ví dụ như đào tạo, thơng tin thiết kế), thay mặt cho
nhà bảo trợ.
Người đánh giá thực hiện các nhiệm vụ đánh giá được yêu cầu trong bối
cảnh của một đánh giá: người đánh giá tiếp nhận bằng chứng đánh giá từ nhà phát
25


Tài liệu liên quan

Tài liệu bạn tìm kiếm đã sẵn sàng tải về

Tải bản đầy đủ ngay
×