Đại Học Quốc Gia Tp. Hồ Chí Minh
TRƢỜNG ĐẠI HỌC BÁCH KHOA
----------------------

NGUYỄN THANH ĐỨC

ĐÁNH GIÁ RỦI RO TÀI SẢN THÔNG TIN THEO TIÊU CHUẨN
ISO/IEC 27001:2005 TẠI CÔNG TY CỔ PHẦN HẠ TẦNG VIỄN
THƠNG CMC
Chun ngành: QUẢN TRỊ KINH DOANH

KHĨA LUẬN THẠC SĨ

TP. HỒ CHÍ MINH, tháng 03 năm 2014


CƠNG TRÌNH ĐƢỢC HỒN THÀNH TẠI
TRƢỜNG ĐẠI HỌC BÁCH KHOA
ĐẠI HỌC QUỐC GIA TP HỒ CHÍ MINH

Cán bộ hƣớng dẫn khoa học: TS. NGUYỄN THÚY QUỲNH LOAN ................
Cán bộ chấm nhận xét 1: PGS.TS Bùi Nguyên Hùng ..........................................
Cán bộ chấm nhận xét 2: TS. Nguyễn Thanh Hùng .............................................

Khóa luận thạc sĩ đƣợc bảo vệ/nhận xét tại HỘI ĐỒNG CHẤM BẢO VỆ KHÓA
LUẬN THẠC SĨ TRƢỜNG ĐẠI HỌC BÁCH KHOA, ngày…….tháng…….năm…….

Thành phần hội đồng đánh giá khóa luận thạc sĩ gồm:
1. Chủ tịch: PGS.TS Bùi Nguyên Hùng ...........................
2. Thƣ ký: TS. Nguyễn Thanh Hùng ................................
3. Ủy viên: TS. Nguyễn Thúy Quỳnh Loan ......................

CHỦ TỊCH HỘI ĐỒNG

CÁN BỘ HƢỚNG DẪN


ĐẠI HỌC QUỐC GIA TP. HCM

CỘNG HOÀ XÃ HỘI CHỦ NGHĨA VIỆT NAM

TRƢỜNG ĐẠI HỌC BÁCH KHOA

Độc Lập - Tự Do - Hạnh Phúc
Tp.HCM, ngày………tháng……….năm………

NHIỆM VỤ KHÓA LUẬN THẠC SĨ
Họ và tên học viên: NGUYỄN THANH ĐỨC

Giới tính: Nam / Nữ 

Ngày, tháng, năm sinh: 16/02/1986

Nơi sinh: Quảng Ngãi

Chuyên ngành: Quản Trị Kinh Doanh

MSHV: 12170867

Khoá: 2012
1- TÊN ĐỀ TÀI: ĐÁNH GIÁ RỦI RO TÀI SẢN THÔNG TIN THEO TIÊU CHUẨN

ISO/IEC 27001:2005 TẠI CÔNG TY CỔ PHẦN HẠ TẦNG VIỄN THÔNG CMC
2- NHIỆM VỤ LUẬN VĂN:
 Phân tích thực trạng hệ thống đảm bảo an tồn thơng tại CMC TI.
 Xác định các tiêu chí đánh giá tài sản thơng tin và rủi ro theo tiêu chuẩn ISO/IEC
27001:2005.
 Phân tích, đánh giá mức độ rủi ro các loại tài sản thông tin tại bộ phận Trung tâm
dữ liệu.
 Đƣa ra các giải pháp giảm thiểu, phòng ngừa và khắc phục các rủi ro của tài sản
thông tin.
3- NGÀY GIAO NHIỆM VỤ: 25/11/2013
4- NGÀY HOÀN THÀNH NHIỆM VỤ: 31/03/2014
5- HỌ VÀ TÊN CÁN BỘ HƢỚNG DẪN: TS. NGUYỄN THÚY QUỲNH LOAN
Nội dung và đề cƣơng Luận văn thạc sĩ đã đƣợc Hội Đồng Chuyên Ngành thông qua.
CÁN BỘ HƢỚNG DẪN

(Họ tên và chữ ký)

KHOA QL CHUYÊN NGÀNH

(Họ tên và chữ ký)


LỜI CÁM ƠN
Đầu tiên em xin gởi lời cảm ơn chân thành tới Quý thầy cô trong Khoa Quản lý
Công nghiệp của Trƣờng Đại học Bách Khoa Tp. Hồ Chí Minh, từ chƣơng trình
chuyển đổi đến khóa học chính thức Thạc sĩ Quản trị kinh doanh tại trƣờng. Những
tri thức và kinh nghiệm của Quý thầy cô là những nguồn kiến thức khá bổ ích đối
với em. Nhờ những kiến thức đó, đã giúp em định hƣớng phát triển thành một bài
khóa luận hồn chỉnh, và giúp em định hƣớng công việc một cách tốt hơn. Đặc biệt,
em xin cảm ơn nhiều nhất đến TS. Nguyễn Thúy Quỳnh Loan. Vì trong thời gian

thực hiện đề tài, Cô luôn theo sát tiến độ thực hiện đề tài của em để đƣa ra những
chỉ dẫn, góp ý tận tình, và phê bình khắt khe nhằm giúp em hồn thiện khóa luận tốt
nhất.
Và em cũng xin cảm ơn đến các bạn đồng nghiệp trong Công ty Cổ phần Hạ tầng
viễn thông CMC, đã quan tâm và chia sẻ những kinh nghiệm thực tế, cung cấp các
dữ liệu quan trọng và tin cậy để em thực hiện các nghiên cứu trong quá trình thực
hiện khóa luận của mình.
Cuối cùng, em gởi lời cảm ơn đến gia đình, vì đây chính là nguồn động viên tinh
thần quan trọng, giúp em có thêm động lực theo học hết chƣơng trình, và ln bên
cạnh em để chia sẻ những nổi lo, nhằm giúp em hoàn thành chƣơng trình học một
cách thuận lợi.
Tuy nhiên, với những kiến thức và sự hiểu biết cịn nhiều hạn chế của mình, nên
trong bài luận này chắc chắn sẽ không thiếu những sai sót. Kính mong Q thầy cơ
góp ý để em có thể hồn thiện bài khóa luận.


TĨM TẮT ĐỀ TÀI
Trong bối cảnh cơng nghệ thơng tin đƣợc ứng dụng sâu rộng vào mọi lĩnh vực đời
sống xã hội. Nên nhiều tổ chức, cơ quan, doanh nghiệp hoạt động đều lệ thuộc hoàn
toàn vào hệ thống máy tính. Khi hệ thống máy tính này gặp các sự cố thì hoạt động
của các đơn vị bị ảnh hƣởng một cách nghiêm trọng và thậm chí có thể bị tê liệt
hồn tồn…
Tại Cơng ty Cổ phần Hạ tầng viễn thông CMC (CMC TI) hiện nay việc xử lý công
việc chính diễn ra hồn tồn trên mơi trƣờng mạng, đây là nguy cơ rất lớn gây ra
mất an tồn thơng tin, dữ liệu cá nhân, dữ liệu chung của doanh nghiệp và khách
hàng. Mặc dù, CMC TI có đƣa ra một số chính sách để phịng chống, ngăn chặn,
nhằm giảm thiểu rủi ro mất mát thông tin xuống một mức thấp nhất có thể. Tuy
nhiên, với sự phát triển nhanh chóng về cơng nghệ thơng tin thì hệ thống thơng tin
của CMC TI ngày càng phải đối mặt với những khó khăn, thách thức lớn do các
nguy cơ gây mất an tồn thơng tin từ bên ngồi cũng nhƣ nội bộ trong cơng ty gây

ra.
Giải pháp tồn diện và hiệu quả nhất để giải quyết vấn đề đảm bảo an tồn thơng tin
cho CMC TI là áp dụng Hệ thống quản lý an tồn thơng tin theo tiêu chuẩn ISO/IEC
27001:2005, để bảo vệ các tài sản thông tin thuộc CMC TI và của khách hàng CMC
TI. Do đó, mục tiêu là phân tích hiện trạng hệ thống an tồn thơng tin thực tế tại
CMC TI, để đƣa ra cách thức và phƣơng pháp phân loại tài sản thông tin, làm cơ sở
đánh giá mức độ bảo vệ dựa theo ba thuộc tính là bảo mật, tồn vẹn, sẵn sàng. Sau
đó, thực hiện đánh giá mức độ rủi ro tài sản dựa trên hai tiêu chí là khả năng xảy ra
và mức độ ảnh hƣởng của rủi ro. Việc phân loại rủi ro để đánh giá mức độ ƣu tiên
xử lý rủi ro, và cơ sở phân loại rủi ro đƣợc đánh giá theo tiêu chí thời gian mất an
tồn thơng tin và giá trị thiệt hại do một điểm yếu có nguy cơ gây ra mất an tồn
thơng tin cho tồn bộ hệ thống thơng tin của CMC TI. Và cuối cùng là xử lý rủi ro
theo một số biện pháp bảo vệ cho tất cả các loại tài sản thông tin của CMC TI.


ABSTRACT
In the context of information technology are applied wide and deep in all fields of
social life. So many organizations, agencies and business operate to entirely depend
on computer system. When the computer system has problems, the operation of the
unit is seriously affected and may even completely paralyzed, ect.
Now, CMC Telecommunications Infrastructure Joint Stock Corporation (CMC TI)
is processing main works which is taking place entirely in the network environment,
this is a huge risk which cause insecure information, personal data, general data of
enterprises and customers. Although, CMC TI has launched a number of policies to
take precausion, prevent, to minimize the risk of information loss to the lowest
possible level. However, with the rapid development of information technology, the
information system of CMC TI increasingly faces difficulties, big challenges due to
the danger of information safe loss from the outside as well as internal company
caused.
Comprehensive solution and the best effectively to solve the problem of safety

information ensuring for CMC TI is to apply information security management
system ISO/IEC 27001:2005, to protect the information assets of CMC and
customers. Therefore, the objective is to analyze the current state of information
security systems at CMC TI, to offer ways and methods of information asset
classification as a basis to assess the level of protection it based on three attributes
as security, integrity, availability. Then, determine the risk level of information
asset based on two criteria are likely to occur and affect level of risk. The risk
classification to assess the level of risk treatment priorities, and the classification of
risk is assessed according to two criteria of unsafe time information and the value of
damage due to a weakness which may cause the insecure information for the entire
information system of CMC TI. And finally, is to handle risks in a number of
safeguards for all types of information assets of CMC TI .


MỤC LỤC
LỜI CÁM ƠN
TĨM TẮT ĐỀ TÀI
ABSTRACT
MỤC LỤC
DANH MỤC HÌNH VẼ
DANH MỤC BẢNG BIỂU
DANH MỤC CHỮ VIẾT TẮT
CHƢƠNG 1: GIỚI THIỆU ...................................................................................... 1
1.1

GIỚI THIỆU TỔNG QUAN .........................................................................1

1.2

LÝ DO HÌNH THÀNH ĐỀ TÀI ...................................................................1


1.3

MỤC TIÊU NGHIÊN CỨU ..........................................................................2

1.4

Ý NGHĨA ĐỀ TÀI ........................................................................................3

1.5

PHƢƠNG PHÁP NGHIÊN CỨU .................................................................3

1.6

PHẠM VI NGHIÊN CỨU ............................................................................6

1.7

BỐ CỤC ĐỀ TÀI ..........................................................................................6

CHƢƠNG 2: CƠ SỞ LÝ THUYẾT ........................................................................ 8
2.1

KHÁI QUÁT VỀ ISO/IEC 27001:2005........................................................8

2.2

HTQL ANTT THEO CHUẨN ISO/IEC 27001:2005 ...................................9


2.2.1

Hệ thống quản lý an ninh thông tin (ISMS) ...........................................9

2.2.2

Các yêu cầu đối với ISMS ....................................................................10

2.2.3

Quy trình triển khai ISMS ....................................................................11

2.2.4

Thuận lợi và khó khăn khi triển khai ISO/IEC 27001:2005 .................12

2.3

QUẢN LÝ RỦI RO .....................................................................................13

2.3.1

Các khái niệm .......................................................................................13

2.3.2

Quá trình quản lý rủi ro.........................................................................13

2.3.3


Các kỹ thuật quản lý rủi ro....................................................................14

2.3.4

Lợi ích của quản lý rủi ro ......................................................................15

2.4

MƠ HÌNH AN TỒN THƠNG TIN C-I-A................................................16


2.4.1

Hàm giá trị tài sản .................................................................................16

2.4.2

Đánh giá mức độ rủi ro .........................................................................19

2.5

KHUNG NGHIÊN CỨU .............................................................................20

CHƢƠNG 3: THỰC TRẠNG HTQL ANTT TẠI CMC TI ............................... 22
3.1

GIỚI THIỆU CÔNG TY .............................................................................22

3.1.1


Vài nét sơ lƣợc về Công ty ...................................................................22

3.1.2

Sơ đồ tổ chức ........................................................................................22

3.1.3

Tầm nhìn và sứ mệnh ............................................................................22

3.1.4

Tình hình hoạt động chất lƣợng ............................................................23

3.2

THỰC TRẠNG AN TỒN THƠNG TIN TẠI CMC TI ...........................24

3.2.1

Ngun nhân từ phía con ngƣời ............................................................24

3.2.2

Nguyên nhân từ phía chính sách ...........................................................24

3.2.3

Ngun nhân từ phía cơng nghệ ...........................................................25


3.3

CHỨC NĂNG VÀ HOẠT ĐỘNG CỦA DC ..............................................26

CHƢƠNG 4: ĐÁNH GIÁ VÀ BIỆN PHÁP KIỂM SOÁT RỦI RO TÀI SẢN . 28
4.1

PHÂN LOẠI TÀI SẢN ...............................................................................28

4.2

XÁC ĐỊNH MỨC ĐỘ BẢO VỆ TÀI SẢN ................................................29

4.2.1

Tính bảo mật .........................................................................................30

4.2.2

Tính tồn vẹn ........................................................................................32

4.2.3

Tính sẵn sàng ........................................................................................35

4.3

ĐÁNH GIÁ RỦI RO TÀI SẢN THÔNG TIN ............................................37

Kết quả đánh giá rủi ro tài sản thông tin ...................................................................38

4.3.1

Khả năng xảy ra ....................................................................................38

4.3.2

Mức độ ảnh hƣởng ................................................................................39

4.4

PHÂN LOẠI RỦI RO .................................................................................41

4.5

BIỆN PHÁP KIỂM SỐT RỦI RO ...........................................................43

4.6

ĐỀ XUẤT QUY TRÌNH ĐÁNH GIÁ RỦI RO ..........................................47

CHƢƠNG 5: KẾT LUẬN VÀ KIẾN NGHỊ......................................................... 49
5.1

CÁC KẾT QUẢ CHÍNH CỦA ĐỀ TÀI .....................................................49


5.2

HẠN CHẾ VÀ HƢỚNG NGHIÊN CỨU TIẾP THEO ..............................50


TÀI LIỆU THAM KHẢO
PHỤ LỤC
PHỤ LỤC A: Các điểm yếu và đe dọa đối với hệ thống thông tin của CMC TI
PHỤ LỤC B: Biên bản làm việc giữa Ban ISO 27000 với Vinastar
LÝ LỊCH TRÍCH NGANG


DANH MỤC HÌNH VẼ
Hình 1.1: Q trình nghiên cứu...................................................................................4
Hình 2.1: HTQL ANTT của ISO/IEC 27001:2005.....................................................9
Hình 2.2: Mơ hình PDCA của ISMS ........................................................................12
Hình 2.3: Quy trình quản lý rủi ro.............................................................................14
Hình 2.4: Khung nghiên cứu đánh giá rủi ro tài sản thông tin ..................................20
Hình 3.1: Mơ hình tổ chức của CMC TI ...................................................................22
Hình 4.1: Quy trình đánh giá rủi ro của CMC TI .....................................................48


DANH MỤC BẢNG BIỂU
Bảng 2.1: Mức lƣợng hóa tính bảo mật của tài sản...................................................17
Bảng 2.2: Mức lƣợng hóa tính tồn vẹn của tài sản ..................................................17
Bảng 2.3: Mức lƣợng hóa tính sẵn sàng tài sản ........................................................18
Bảng 2.4: Giá trị tài sản thơng tin .............................................................................18
Bảng 2.5: Mức lƣợng hóa khả năng xảy ra rủi ro .....................................................20
Bảng 2.6: Lƣợng hóa mức độ ảnh hƣởng của rủi ro .................................................20
Bảng 3.1: Các giai đoạn triển khai dự án ISO 27001 ...............................................23
Bảng 3.2: Danh sách các loại tài sản thuộc DC ........................................................26
Bảng 4.1: Phân nhóm tài sản thơng tin của DC ........................................................28
Bảng 4.2: Tính bảo mật của tài sản ...........................................................................30
Bảng 4.3: Tính tồn vẹn của tài sản ..........................................................................32
Bảng 4.4: Tính sẵn sàng của tài sản ..........................................................................35

Bảng 4.5: Tổng hợp xác định mức độ bảo vệ tài sản của DC ...................................36
Bảng 4.6: Khả năng xảy ra rủi ro ..............................................................................38
Bảng 4.7: Mức độ ảnh hƣởng của rủi ro ...................................................................39
Bảng 4.8: Tổng hợp đánh giá rủi ro tài sản của DC ..................................................40
Bảng 4.9: Tổng hợp phân loại rủi ro tại DC .............................................................43
Bảng 4.10: Giải pháp cho Nhóm rủi ro Thấp ............................................................44
Bảng 4.11: Giải pháp cho Nhóm rủi ro Trung bình ..................................................44
Bảng 4.12: Giải pháp cho Nhóm rủi ro Cao .............................................................45
Bảng 4.13: Giải pháp cho Nhóm rủi ro Rất cao ........................................................46


DANH MỤC CHỮ VIẾT TẮT


CMC TI (CMC Telecommunication Infrastructure): Công ty Cổ phần Hạ tầng
viễn thông CMC



ISMS (Information Security Management System): Hệ thống quản lý an ninh
thông tin



NOC (Network Operation Center): Trung tâm điều hành mạng



ANTT (information security): An ninh thông tin




HTQL: Hệ thống quản lý



DC (Data Center): Trung tâm dữ liệu



BGĐ: Ban Giám Đốc



CBNV: Cán bộ nhân viên


1

CHƢƠNG 1: GIỚI THIỆU
1.1

GIỚI THIỆU TỔNG QUAN

Trong môi trƣờng cạnh tranh bằng thơng tin nhƣ hiện nay thì việc an ninh thông tin
trở thành vấn đề vô cùng quan trọng. Việc vƣợt lên phía trƣớc, nắm bắt cơ hội thị
trƣờng, cập nhật kiến thức, khoa học, công nghệ, định hƣớng kinh doanh, hoạch
định chiến lƣợc, quyết định một vấn đề hay giải quyết một sự vụ, tiếp cận với khách
hàng…tất cả đều cần đến thơng tin. Ai có thơng tin, ngƣời đó có lợi thế trong việc
dành chiến thắng.

Khi cơng nghệ thơng tin càng phát triển, máy tính, internet rồi các phƣơng tiện
truyền tải thông tin càng hiện đại và tiện dụng, con ngƣời càng phụ thuộc vào máy
móc thì nguy cơ rị rỉ, thất thốt thơng tin ngày càng cao, dẫn đến những thiệt hại
khó lƣờng. Chỉ cần một dữ liệu bị sửa đổi, hoặc bị đánh cắp, hay bị mất sẽ ảnh
hƣởng tới hoạt động kinh doanh của doanh nghiệp hoặc khách hàng của doanh
nghiệp đó. Chính vì vậy, vấn đề quản lý thông tin đƣợc đƣa ra trao đổi rất nhiều trên
các diễn đàn hiện nay và an ninh mạng hiển nhiên là những câu chuyện thời sự hàng
ngày.
Năm 2005, ISO/IEC JTC 1(Ban kỹ thuật chung trong lĩnh vực công nghệ thông tin
giữa ISO – Tổ chức tiêu chuẩn hóa quốc tế và IEC – Ban kỹ thuật điện quốc tế) đã
cho ra đời tiêu chuẩn ISO/IEC 27001. Tiêu chuẩn này đƣợc xây dựng nhằm cung
cấp một mơ hình để thiết lập, thực hiện, điều hành, theo dõi, xem xét, duy trì và cải
tiến Hệ thống quản lý an ninh thông tin (ISMS), giúp cho việc thấu hiểu nhu cầu và
các yêu cầu về quản lý an tồn thơng tin của tổ chức, sự cần thiết của việc thiết lập
chính sách, các mục tiêu an tồn thơng tin và nhận biết các phƣơng pháp kiểm soát
thực hiện và điều hành để quản lý các rủi ro về an tồn thơng tin của tổ chức.
1.2

LÝ DO HÌNH THÀNH ĐỀ TÀI

Công ty Cổ phần Hạ tầng viễn thông CMC (CMC TI) là một đơn vị hoạt động trong
lĩnh vực viễn thông, cung cấp các dịch vụ: dữ liệu trực tuyến, truyền dẫn số liệu
trong nƣớc và quốc tế, và các dịch vụ viễn thông chất lƣợng cao khác. Do đó, hệ


2

thống quản lý chất lƣợng của Công ty cũng cần phải tuân thủ theo những tiêu chuẩn
chung của ngành viễn thông.
Trƣớc khi sáp nhập công ty CMC Telecom vào CMC TI, thì CMC Telecom đã có

chứng nhận TCVN ISO/IEC 27001:2009 và TCVN ISO 9001:2008 nhƣng đều hết
hạn, còn CMC TI có thực hiện HTQLCL theo tiêu chuẩn TCVN ISO 9001:2008,
nhƣng chƣa đƣợc chứng nhận. Tuy nhiên, sau gần 3 năm thực hiện theo tiêu chuẩn
TCVN ISO 9001:2008, CMC TI vẫn không đáp ứng đƣợc các yêu cầu chung của
ngành và đặc biệt là các yêu cầu ngày càng cao của khách hàng. Bên cạnh đó, để tạo
sức cạnh tranh tốt đối với các Công ty cùng ngành ở trong và ngồi nƣớc thì việc có
chứng nhận ISO/IEC 27001:2005 sẽ giúp cho Cơng ty có thể tham gia đấu thầu các
hợp đồng có giá trị lớn hơn.
Hiện nay, phần lớn các dịch vụ cho thuê đặt máy tính chủ, dịch vụ quản lý dữ liệu
của CMC TI, đều là các khách hàng doanh nghiệp. Do đó, việc đảm bảo an tồn
thơng tin của CMC TI, luôn đƣợc các khách hàng hiện tại và tƣơng lai của CMC TI
quan tâm kỹ lƣỡng, trƣớc khi mua dịch vụ và sử dụng tiếp dịch vụ của CMC TI. Vì
những khách hàng này ln xem thơng tin của họ là tài sản quan trọng, đóng vai trò
quyết định sự thành bại của họ. Cho nên, các thông tin nhạy cảm của khách hàng và
của CMC TI luôn cần đƣợc bảo vệ chặt chẽ trƣớc những đe dọa ở tầm rộng, đảm
bảo sự liền mạch, giảm thiểu rủi ro và tăng cƣờng năng lực quản lý, kinh doanh,
nghiệp vụ. Áp dụng các tiêu chuẩn đảm bảo an tồn thơng tin theo tiêu chuẩn
ISO/IEC 27001:2005 là biện pháp rất cần thiết nhằm bảo vệ các tài sản thông tin
thuộc CMC TI và cho khách hàng của CMC TI, để tăng thêm sự tin tƣởng của
khách hàng và các đối tác vào những gói dịch vụ mà CMC TI đang cung cấp.
Đó là lý do hình thành nên đề tài: “Đánh giá rủi ro tài sản thông tin theo tiêu
chuẩn ISO/IEC 27001:2005 tại Công ty Cổ phần Hạ tầng viễn thơng CMC”.
1.3

MỤC TIÊU NGHIÊN CỨU

Mục tiêu chính của đề tài này nhằm giải quyết những vấn đề cơ bản nhƣ sau:
 Phân tích thực trạng hệ thống đảm bảo an tồn thơng tin tại CMC TI.



3

 Xác định các tiêu chí đánh giá tài sản thông tin và rủi ro theo tiêu chuẩn
ISO/IEC 27001:2005.
 Phân tích, đánh giá mức độ rủi ro các loại tài sản thông tin tại bộ phận Trung
tâm dữ liệu (DC: Data Center).
 Đƣa ra các giải pháp giảm thiểu, phòng ngừa và khắc phục các rủi ro của tài
sản thông tin.
1.4

Ý NGHĨA ĐỀ TÀI

Đề tài này đem lại nhiều ý nghĩa ở nhiều góc độ khác nhau:
 Đối với tác giả nghiên cứu: khóa luận là cơ hội để ngƣời nghiên cứu trao dồi,
học hỏi thêm nhiều điều mới từ thực tế, đồng thời cũng là cơ hội để xem xét
lại các lý thuyết đã đƣợc học trong các học kỳ trƣớc đây. Qua đó hiểu rõ hơn
về Hệ thống quản lý an tồn thơng tin theo tiêu chuẩn ISO/IEC 27001:2005
cũng nhƣ hỗ trợ tốt cho công việc hiện tại và tƣơng lai của ngƣời nghiên cứu.
 Đối với Công ty: đây là cơ hội rà soát lại hiệu quả hoạt động hệ thống ISO
9001:2008, đề xuất giải pháp và phƣơng hƣớng thực hiện xây dựng hệ thống
ISO/IEC 27001:2005. Đồng thời CMC TI cũng có thể xem đây nhƣ là tài liệu
tham khảo nội bộ khi thực hiện kế hoạch triển khai hệ thống quản lý an tồn
thơng tin trong Cơng ty.
 Đối với nhà nghiên cứu: khóa luận hy vọng có những đóng góp nhỏ cho
những ai muốn tìm hiểu về các Hệ thống quản lý an ninh thông tin đặc biệt
trong lĩnh vực viễn thơng.
1.5

PHƢƠNG PHÁP NGHIÊN CỨU


Vì đây là một dạng đề tài nghiên cứu ứng dụng nên phƣơng pháp nghiên cứu chủ
yếu là phƣơng pháp nghiên cứu định tính, thơng qua tình hình thực tế tại CMC TI.
Quy trình nghiên cứu cụ thể đƣợc trình bày ở Hình 1.1.
Nguồn dữ liệu đƣợc thu thập để nghiên cứu dựa vào hai nguồn dữ liệu là: sơ cấp và
thứ cấp. Dữ liệu sơ cấp đƣợc thu thập bằng việc phỏng vấn chuyên gia là Trƣởng
Ban ISO 27000, các trƣởng Bộ phận/ Trung tâm, Vinastar. Trong đó, Vinastar là
đơn vị cung cấp dịch vụ tƣ vấn, đào tạo và đánh giá để hỗ trợ các doanh nghiệp


4

trong và ngoài nƣớc, áp dụng hệ thống quản lý dựa trên các tiêu chuẩn nhƣ: ISO
9001, ISO 27001, ISO 20000…với các chuyên viên Việt Nam và Quốc tế nhiều
kinh nghiệm. Vinastar là đơn vị trƣớc đây đã tƣ vấn thành công cho CMC Telecom,
nhƣng hiện tại CMC Telecom đã sáp nhập với CMC TI và chứng nhận TCVN
ISO/IEC 27001:2005 cũng đã hết hạn. Cho nên, Vinastar cũng hiểu rõ về hoạt động
và hệ thống thông tin của CMC TI. Vì vậy, CMC TI thuê Vinastar để tƣ vấn xây
dựng lại hệ thống ISO 27001 mới.
Mục tiêu nghiên cứu




Tìm hiểu lý thuyết quản lý rủi ro
Nghiên cứu mơ hình an tồn thơng
tin C-I-A

Xây dựng các tiêu chí đánh giá tài sản
và rủi ro


Đánh giá rủi ro của các loại tài sản
thơng tin

Đề xuất và lựa chọn giải pháp kiểm
sốt/ quản lý rủi ro

Thực hiện thử nghiệm tại DC

Kết luận - Kiến nghị

Hình 1.1: Quá trình nghiên cứu
Nội dung phỏng vấn đƣợc thực hiện theo hình thức trao đổi trực tiếp, dùng các câu
hỏi mở để tìm hiểu cách thức đánh giá, và lựa chọn giải pháp cho vấn đề mà CMC
TI đang gặp phải. Cụ thể:


5

-

Phỏng vấn Trƣởng Ban ISO 27000 các hƣớng đề xuất giải pháp và phƣơng
thức thực hiện kiểm soát rủi ro theo tiêu chuẩn ISO/IEC 27001:2005, và theo
đúng mục tiêu của dự án ISO 27000 mà Ban lãnh đạo Công ty đã đề ra.

-

Phỏng vấn các trƣởng Bộ phận/ Trung tâm về tình hình thực hiện cơng tác
đảm bảo an tồn thông tin tại bộ phận này:
 Bộ phận Quản lý cƣớc cho biết: mạng Công ty chậm, không đảm bảo
cho cơng việc. Do đó, tính sẵn sàng để đáp ứng công việc quá yếu.

 Bộ phận Dịch vụ khách hàng: hệ thống CCBS của Công ty không đảm
bảo việc lƣu trữ thông tin khách hàng và cơ sở dữ liệu của Bộ phận
này. Do đó, tính tồn vẹn và sẵn sàng chƣa tốt.
 Bộ phận Tin học tính cƣớc cho biết thiếu nhân sự và thiết bị để quản
lý hệ thống CCBS. Nên tính bảo mật, tồn vẹn và sẵn sàng đều không
đảm bảo.
 Trung tâm dữ liệu (DC): thiếu nhân sự, hệ thống nguồn điện chƣa ổn
định…nên sự cố thƣờng xuyên xảy ra và không xử lý kịp thời. Trung
tâm này cho biết cần thiết phải bổ sung nhân sự, các chính sách và
cơng nghệ để triển khai kịp thời các biện pháp xử lý sự cố, nhằm đảm
bảo mục tiêu an tồn cho hệ thống thơng tin của CMC TI.
 Bộ phận Quản lý chất lƣợng cho biết tính tn thủ quy trình và quy
định của các bộ phận chƣa tốt dẫn đến hệ thống chƣa đảm bảo theo
đúng tiêu chuẩn ISO.

-

Phỏng vấn Vinastar: để thu thập thông tin về cách thức thực hiện phân loại
tài sản thông tin, xác định mức bảo vệ tài sản, đánh giá rủi ro tài sản, phân
loại rủi ro, biện pháp kiểm sốt rủi ro. Từ đó, làm cơ sở cho việc xây dựng
quy trình và những hƣớng dẫn thực hiện các cơng tác đó cho các bộ phận
trong Cơng ty.

Dữ liệu thứ cấp là các tài liệu, hồ sơ, hƣớng dẫn liên quan đến quá trình thực hiện
phân loại, đánh giá rủi ro của CMC TI nhƣ:
 Quy trình phân loại tài sản


6


 Quy trình đánh giá rủi ro
 Hƣớng dẫn thống kê tài sản thông tin
 Hƣớng dẫn thực hiện đánh giá rủi ro
 Chính sách cơng nghệ thơng tin của Trung tâm dữ liệu
1.6

PHẠM VI NGHIÊN CỨU

Nội dung của khóa luận chỉ tập trung vào 2 chƣơng của bộ tiêu chuẩn ISO/IEC
27001:2005 để nghiên cứu. Cụ thể 2 chƣơng này là: Chƣơng 4 – Đánh giá và xử lý
rủi ro, và Chƣơng 7 – Quản lý tài sản. Nhằm thống kê, phân tích thực trạng các loại
tài sản thơng tin, và hệ thống an tồn thơng tin tại DC (Data Center). Từ đó, đƣa ra
giải pháp và cách thức thực hiện các biện pháp kiểm soát rủi ro đối với các tài sản
thông tin thuộc DC.
Thời gian thu thập thông tin và áp dụng thử nghiệm đánh giá rủi ro theo tiêu chuẩn
ISO/IEC 27001:2005 tại DC từ 25/11/2013 đến 30/03/2014.
1.7

BỐ CỤC ĐỀ TÀI

Chƣơng 1: Giới thiệu. Chƣơng này trình bày tổng quan về nhu cầu triển khai hệ
thống quản lý an tồn thơng tin tại CMC TI, mục tiêu, ý nghĩa, phạm vi và bố cục
của đề tài.
Chƣơng 2: Cơ sở lý thuyết và phƣơng pháp nghiên cứu. Giới thiệu tổng quan về hệ
thống quản lý an tồn thơng tin (ISMS) theo tiêu chuẩn ISO/IEC 27001:2005, cách
tiếp cận tiêu chuẩn này theo mơ hình PDCA, lý thuyết quản lý rủi ro và mơ hình an
tồn thơng tin C-I-A, để phát hiện ra các nguy cơ tiềm ẩn đối với các loại tài sản
thông tin, và mức độ gây ra mất an tồn thơng tin trong tổ chức, nhằm có biện pháp
khắc phục và ngăn ngừa.
Chƣơng 3: Thực trạng HTQL ANTT tại CMC TI. Tìm hiểu sơ đồ tổ chức, tình hình

hoạt động chất lƣợng tại CMC TI. Giới thiệu chức năng nhiệm vụ và phạm vi hoạt
động của DC. Phân tích hiện trạng hệ thống ANTT để nhận diện ra các nguy cơ gây
mất an tồn thơng tin tại CMC TI. Liệt kê các loại tài sản thông tin tại bộ phận DC
nhằm phục vụ cho công tác phân loại tài sản, đánh giá và kiểm soát rủi ro đối với
những loại tài sản này tại DC.


7

Chƣơng 4: Đánh giá và biện pháp kiểm soát rủi ro tài sản. Chƣơng này tập trung
vào nhiều vấn đề của khóa luận. Đƣa ra các tiêu chí đánh giá tài sản và rủi ro theo
tiêu chuẩn ISO/IEC 27001:2005. Đƣa ra các phƣơng pháp và cách thức thực hiện
việc xác định tài sản thông tin; xác định mức độ bảo vệ tài sản thơng qua ba thuộc
tính quan trọng của tài sản nhƣ tính bảo mật, tính tồn vẹn và tính sẵn sàng; đánh
giá rủi ro tài sản thơng tin. Từ đó, làm cơ sở để phân loại mức độ rủi ro và đƣa ra
các biện pháp kiểm soát rủi ro tƣơng ứng với từng loại mức độ rủi ro. Và cuối cùng
là đề xuất quy trình quản lý rủi ro đối với các tài sản thông tin thuộc CMC TI, nhằm
xây dựng hệ thống ANTT theo đúng tiêu chuẩn của ISO/IEC 27001:2005.
Chƣơng 5: Kết quả và kiến nghị. Trong chƣơng này trình bày các nhận xét, những
khó khăn và những kết quả đạt đƣợc, những hạn chế của đề tài nghiên cứu trong quá
trình thực hiện. Đề xuất những giải pháp và chính sách hỗ trợ giúp thực hiện đề tài
nghiên cứu và áp dụng triển khai một cách hiệu quả vào CMC TI.


8

CHƢƠNG 2: CƠ SỞ LÝ THUYẾT

2.1


KHÁI QUÁT VỀ ISO/IEC 27001:2005

ISO/IEC 27001:2005 là một tiêu chuẩn về HTQL ANTT do Tổ chức tiêu chuẩn hóa
quốc tế (ISO) phát triển và ban hành. Tiêu chuẩn cung cấp một mơ hình để thiết lập,
áp dụng, vận hành, giám sát, xem xét, duy trì, cải tiến HTQL ANTT (ISMS) và có
thể áp dụng cho hầu hết mọi loại hình tổ chức nhƣ: các tổ chức kinh doanh – thƣơng
mại, Chính phủ, tổ chức phi lợi nhuận.
TCVN ISO/IEC 27001:2009 đƣợc phát triển từ tiêu chuẩn quốc tế về hệ thống quản
lý an tồn thơng tin ISO/IEC 27001:2005 (trên nền tiêu chuẩn BS 7799:1998-2000
của Anh) nhằm đáp ứng yêu cầu quản lý thông tin trong bối cảnh phát triển nhanh
chóng của cơng nghệ thơng tin, máy tính và mạng Internet trên thế giới. Do đó,
TCVN ISO/IEC 27001:2009 hoàn toàn tƣơng đƣơng với tiêu chuẩn quốc tế
ISO/IEC 27001:2005.
Các định nghĩa liên quan đến HTQL ANTT ISO/IEC 27001:2005 (Tổ chức tiêu
chuẩn hóa quốc tế, 2005):
 Thơng tin là tài sản, cũng nhƣ các loại tài sản quan trọng khác có giá trị đối
với tổ chức và cần đƣợc bảo vệ thích hợp.
 Tính bảo mật là tính chất đảm bảo thông tin không sẵn sàng và phơi bày trƣớc
cá nhân, thực thể và các tiến trình khơng đƣợc phép. Ví dụ nhƣ: khóa cửa, mật
khẩu…
 Tính tồn vẹn là tính chất đảm bảo sự chính xác và đầy đủ của tài sản. Ví dụ:
quy định…
 Tính sẵn sàng là tính chất đảm bảo mọi thực thể đƣợc phép có thể truy cập và
sử dụng theo u cầu. Ví dụ: Lƣu trữ dữ liệu, bảo trì thiết bị…
 An ninh thơng tin (information security) là sự duy trì tính bảo mật, tính tồn
vẹn, và tính sẵn sàng của thơng tin; ngồi ra cịn có thể bao hàm một số tính
chất khác nhƣ: xác thực, kiểm sốt đƣợc, khơng từ chối và tin cậy.


9


 HTQL ANTT là một phần của hệ thống quản lý tồn diện, dựa trên các rủi ro
có thể xuất hiện trong hoạt động của tổ chức để thiết lập, triển khai, điều hành,
giám sát, sốt xét, duy trì và cải tiến an tồn thơng tin.
2.2

HTQL ANTT THEO CHUẨN ISO/IEC 27001:2005

2.2.1 Hệ thống quản lý an ninh thông tin (ISMS)
HTQL ANTT (ISMS) đƣợc xem là trái tim của ISO/IEC 27001:2005. Một ISMS
phải quản lý tất cả các mặt của ANTT bao gồm con ngƣời, các quy trình và các hệ
thống cơng nghệ thơng tin. Điều cốt lõi để có một ISMS thành công là phải dựa trên
đánh giá phản hồi để cung cấp sự cải tiến liên tục, và lấy cách tiếp cận có cấu trúc
để quản lý tài sản và rủi ro.
Theo ISO/IEC 27001:2005 (Tổ chức tiêu chuẩn hóa quốc tế, 2005), HTQL ANTT
gồm 12 chƣơng từ A.4 đến A.15, 39 mục tiêu kiểm soát, và 133 phƣơng pháp kiểm
soát.
A.4 - Đánh giá và xử lý rủi ro
A.5 - Chính sách an tồn
A.6 - Tổ chức đảm bảo an tồn thơng tin
A.7 - Quản lý tài sản
A.8 - Đảm bảo an
toàn nguồn nhân
lực

A.9 - Đảm bảo an
toàn vật lý và môi
trƣờng

A.10 - Quản lý

truyền thông và
điều hành

A.12 - Tiếp nhận, phát triển và
duy trì các hệ thống thơng tin

A.11 - Quản lý truy cập
A.13 - Quản lý các sự cố an tồn thơng tin
A.14 - Quản lý sự liên tục của hoạt động nghiệp vụ
A.15 - Sự tuân thủ

Hình 2.1: HTQL ANTT của ISO/IEC 27001:2005
Nghiên cứu chính tập trung trong tài liệu ISO/IEC 27001:2005 của Tổ chức tiêu
chuẩn hóa quốc tế (2005) là hƣớng dẫn đánh giá rủi ro và xử lý rủi ro (mục A.4),
cách thức quản lý tài sản (mục A.7). Cụ thể:


10

 A.4 – Đánh giá và xử lý rủi ro
 Đánh giá rủi ro an toàn: xác định, định lƣợng và phân loại ƣu tiên các rủi ro
nhằm phục vụ cho việc quản lý các rủi ro an tồn thơng tin và triển khai các
biện pháp quản lý đã đƣợc chọn, để chống lại các rủi ro này.
 Xử lý các rủi ro an tồn thơng tin: xác định tiêu chí để xem xét liệu các rủi ro
có đƣợc chấp nhận hay không. Các quyết định này đƣợc lựa chọn nhằm:
 Áp dụng các biện pháp quản lý thích hợp để giảm bớt rủi ro.
 Chấp nhận các rủi ro một cách khách quan và có dụng ý, miễn là chúng
thỏa mãn chính sách và tiêu chí chấp nhận rủi ro của tổ chức.
 Tránh rủi ro bằng cách không cho phép các hoạt động sẽ làm phát sinh
rủi ro.

 Chuyển các rủi ro liên đới tới các bên khác nhƣ các nhà bảo hiểm hay
các nhà cung cấp…
 A.7 – Quản lý tài sản
 Trách nhiệm đối với tài sản: nhằm hồn thành và duy trì các biện pháp thích
hợp đối với tài sản của tổ chức. Tất cả các tài sản phải đƣợc kê khai và giao
cho một ngƣời sở hữu. Ngƣời sở hữu tài sản cần đƣợc xác định đối với tất cả
các tài sản và đƣợc giao trách nhiệm trong việc duy trì các biện pháp quản lý
phù hợp.
 Phân loại thông tin: nhằm đảm bảo thơng tin sẽ có mức độ bảo vệ thích hợp.
Thơng tin cần đƣợc phân loại nhằm chỉ ra nhu cầu, độ ƣu tiên và mức độ bảo
vệ mong muốn khi xử lý thơng tin. Thơng tin có các mức độ nhạy cảm và độ
quan trọng thay đổi. Một số danh mục thơng tin có thể cần mức bảo vệ cao
hơn hoặc cần đƣợc xử lý đặc biệt. Cần sử dụng cơ chế phân loại thông tin
nhằm xác định tập các mức bảo vệ phù hợp và trao đổi về nhu cầu cần có các
biện pháp xử lý đặc biệt.
2.2.2 Các yêu cầu đối với ISMS
 Thiết lập ISMS


11

 Xác định phạm vi, giới hạn của ISMS phù hợp với các đặc thù cơng việc, tổ
chức, vị trí, tài sản và cơng nghệ
 Xác định chính sách an tồn thơng tin và cách thức đánh giá rủi ro
 Xác định phƣơng pháp đánh giá rủi ro phù hợp với ISMS, và các yêu cầu
 Xác định mức rủi ro có thể chấp nhận và đề ra các biện pháp khắc phục
 Phân tích và định lƣợng rủi ro, xác định và đánh giá các phƣơng án lựa
chọn để xử lý rủi ro
 Lựa chọn các mục tiêu và phƣơng pháp kiểm soát để xử lý rủi ro
 Thực hiện và vận hành hệ thống ISMS

 Xây dựng kế hoạch xử lý rủi ro, thực hiện các phƣơng pháp kiểm soát
 Thực hiện kế hoạch xử lý rủi ro nhằm đạt đƣợc các mục tiêu kiểm soát
 Xác định cách thức đo lƣờng hiệu lực của các phƣơng pháp kiểm sốt
 Thực hiện các chƣơng trình đào tạo, nhận thức, quản lý các nguồn lực SMS
 Thực hiện các thủ tục và các phƣơng pháp kiểm soát
 Giám sát và xem xét ISMS
 Tiến hành giám sát và xem xét các thủ tục cũng nhƣ các kiểm soát khác
 Phát hiện kịp thời các sai sót trong kết quả xử lý
 Giúp quản lý xem xét các hoạt động an tồn có đƣợc hiệu quả hay khơng
 Duy trì và cải tiến hệ thống ISMS
 Tiến hành các cải tiến đã xác định trong ISMS
 Thực hiện các hành động khắc phục và phòng ngừa.
 Trao đổi các hành động và các cải tiến cho tất cả các bên quan tâm
 Đảm bảo các cải tiến đạt đƣợc những mục tiêu đã dự định
2.2.3 Quy trình triển khai ISMS
 Plan (Thiết lập ISMS): Thiết lập chính sách an ninh, mục tiêu, mục đích, các q
trình và thủ tục phù hợp với việc quản lý rủi ro và cải tiến an ninh thông tin để
phân phối các kết quả theo các mục tiêu và chính sách tổng thể của tổ chức.


12

 Do (Triển khai và vận hành ISMS): Thực thi và điều hành các chính sách an
ninh, các dấu hiệu kiểm sốt, các q trình và các thủ tục.
 Check (Đánh giá và xem xét ISMS): Đánh giá, tìm kiến sự phù hợp, đo lƣờng
hiệu năng của quá trình so với chính sách an ninh, mục tiêu, kinh nghiệm thực tế
và báo cáo kết quả cho lãnh đạo xem xét.
 Action (Duy trì và cải tiến ISMS): Đƣa ra các hành động khắc phục phòng ngừa
trên cơ sở các kết quả xem xét cải tiến liên tục hệ thống ISMS.


Các bên liên
quan

Các bên liên
quan

P
Thiết lập hệ
thống ISMS

D

Các yêu cầu
và kỳ vọng
về an tồn
thơng tin

Triển khai và
vận hành hệ
thống ISMS

Duy trì và cải
tiến hệ thống
ISMS

A

Giám sát và
xem xét hệ
thống ISMS

C

Kết quả
quản lý an
tồn thơng
tin

Hình 2.2: Mơ hình PDCA của ISMS
2.2.4 Thuận lợi và khó khăn khi triển khai ISO/IEC 27001:2005
 Thuận lợi
 Hạ tầng thơng tin an tồn, thơng tin đƣợc đảm bảo bí mật, tồn vẹn, sẵn sàng.
 Đảm bảo hoạt động không bị gián đoạn
 Tăng cƣờng sự tin cậy đối với các đối tác và tổ chức bên ngồi
 Nâng cao hình ảnh của tổ chức.
 Thúc đẩy Chính phủ điện tử trong quản lý hành chính nhà nƣớc.
 Thúc đẩy tiến trình tồn cầu hóa, hợp tác với quốc tế…


13

 Khó khăn
Thứ nhất, chi phí để đạt chứng nhận ISO 27001 khá cao, bao gồm các chi phí về
tƣ vấn, cấp chứng nhận và đặc biệt là chi phí doanh nghiệp phải bỏ ra để thực
hiện các biện pháp kiểm sốt rủi ro. Chi phí để áp dụng ISO 27001 ƣớc tính lớn
gấp khoảng 2 – 3 lần so với thực hiện ISO 9000.
Thứ hai, trình độ về cơng nghệ thông tin (CNTT) và nhận thức về an ninh thông
tin của ngƣời sử dụng chƣa cao cũng gây những trở ngại, khó khăn khi triển khai
ISO 27001.
Thứ ba, việc triển khai trong nội bộ doanh nghiệp chỉ là hình thức, cịn áp dụng
thực tế lại hồn tồn khác. Có nhiều quy định trong công ty (theo ISO 27001) sẽ

đƣợc đƣa ra nhƣng có thực sự đƣợc áp dụng hay khơng thì khơng biết.
Thứ tư, một vài doanh nghiệp lớn thì cho rằng họ sẵn sàng cho tiêu chuẩn ISO
27001, nếu các đối tác nƣớc ngồi u cầu thì họ sẽ áp dụng ngay. Tuy nhiên,
khi triển khai ISO 27001 chỉ làm đƣợc khoảng 30 – 40% các bƣớc trong quy
trình triển khai tiêu chuẩn này.
2.3

QUẢN LÝ RỦI RO

2.3.1 Các khái niệm
o Theo ISO/IEC 13335, rủi ro là khả năng đe dọa khai thác điểm yếu gây nên
sự mất mát/làm hại đến tài sản hoặc nhóm tài sản trực tiếp hoặc gián tiếp.
o Theo ISO/IEC Guide 73:2002, quản lý rủi ro là các hoạt động phối hợp nhằm
điều khiển và quản lý một tổ chức trƣớc các rủi ro có thể xảy ra.
o Theo ISO/IEC Guide 73:2002, đánh giá rủi ro là q trình tổng thể gồm phân
tích rủi ro và ƣớc lƣợng rủi ro.
o Theo ISO/IEC Guide 73:2002, ƣớc lƣợng rủi ro là quá trình so sánh rủi ro đã
ƣớc đốn với một chỉ tiêu rủi ro đã có, nhằm xác định độ nghiêm trọng của
rủi ro.
2.3.2 Quá trình quản lý rủi ro
Quá trình quản lý rủi ro (Nguyễn Thúy Quỳnh Loan, 2013): là một nỗ lực chủ động
để nhận biết và quản lý các sự kiện bên trong và các đe dọa bên ngồi có thể ảnh