Add to collection(s) Add to saved
  1. Social Science
  2. Political Science
Uploaded by Trang Huỳnh

Slides AISe - An Toan Thong Tin Ke Toan Chuong 1

advertisement 
23-Mar-22
CHƯƠNG 1
TỔNG QUAN VỀ AN TOÀN THÔNG TIN KẾ TOÁN
1
Nguyễn Hữu Bình-Khoa Kế toán-Trường Kinh Doanh-UEH-huubinh_ais@ueh.edu.vn
1
Tình huống
Một ngày làm việc bình thường, cô Maggie Q. – nhân viên kế toán nhận được email
của trưởng phòng Kế toán, với nội dung yêu cầu cô Q. mở file văn bản đính kèm để
làm báo cáo nhanh về tình hình công nợ. Sau khi mở email, cô Q. không đọc được nội
dung, máy tính tự khởi động và sau đó, toàn bộ dữ liệu bị mã hóa. Trong 15 phút sau,
màn hình máy tính của tất cả nhân viên công ty đều hiện lên thông báo dữ liệu bị mã
hóa, yêu cầu công ty phải trả tiền chuộc hoặc toàn bộ dữ liệu sẽ bị xóa sạch sau 24
giờ.
• Điều gì đã xảy ra?
• Sự cố diễn ra như thế nào?
• Làm sao để ngăn chặn?
Nguyễn Hữu Bình-Khoa Kế toán-Trường Kinh Doanh-UEH-huubinh_ais@ueh.edu.vn
2
2
1
23-Mar-22
Mục tiêu chương
• Định nghĩa an toàn thông tin
• Hiểu biết về lịch sử an toàn máy tính và giải thích sự phát triển an toàn
thông tin.
• Xác định thuật ngữ và các khái niệm quan trọng về an toàn thông tin
• Giải thích vai trò của an toàn trong chu kỳ phát triển hệ thống
• Mô tả vai trò của các chuyên gia đối với an toàn thông tin trong DN
3
Nguyễn Hữu Bình-Khoa Kế toán-Trường Kinh Doanh-UEH-huubinh_ais@ueh.edu.vn
3
Nội dung
1. Giới thiệu về an toàn thông tin
1.1. Lịch sử an toàn thông tin
1.2. Định nghĩa an toàn thông tin
1.3. Bản chất An toàn thông tin: Khoa học hay Nghệ thuật?
2. Mô hình an toàn thông tin
2.1. Mô hình an toàn CNSS
2.2. Các thành phần của hệ thống thông tin
2.3. Cân bằng giữa an toàn thông tin và truy cập
3. Triển khai an toàn thông tin
3.1. Cách tiếp cận thực hiện an toàn thông tin
3.2. An toàn thông tin và chu kỳ phát triển hệ thống
4. An toàn thông tin trong doanh nghiệp
4.1. Chuyên gia an toàn thông tin trong doanh nghiệp
4.2. Các nhóm người dùng ảnh hưởng đến an toàn thông tin trong DN
Nguyễn Hữu Bình-Khoa Kế toán-Trường Kinh Doanh-UEH-huubinh_ais@ueh.edu.vn
4
4
2
23-Mar-22
Thuật ngữ
Accuracy
Độ chính xác
thuộc tính thông tin mô tả cách dữ liệu không có lỗi và có giá trị mà người dùng mong đợi
Authenticity
Tính xác thực
thuộc tính của thông tin mô tả cách dữ liệu được xác thực hoặc là nguyên bản thay vì sao chép hoặc
bịa đặt
Availability:
Tính khả dụng
một thuộc tính của thông tin mô tả cách dữ liệu có thể truy cập và được định dạng chính xác để sử
dụng mà không bị can thiệp hoặc cản trở
Bottom-up
approach
Cách tiếp cận từ dưới
lên
một phương pháp thiết lập các chính sách bảo mật bắt đầu từ một nỗ lực cấp thấp hơn trong đó quản
trị viên hệ thống cố gắng cải thiện tính bảo mật của hệ thống của họ
C.I.A. triad: C
(confidentiality); I
(integrity); A
(availability)
ba tiêu chuẩn C.I.A /
tam giác C.I.A
tiêu chuẩn công nghiệp về bảo mật máy tính kể từ khi phát triển máy tính lớn (mainframe) - Tiêu chuẩn
dựa trên ba đặc điểm mô tả ứng dụng tiện ích của thông tin: tính bảo mật, tính toàn vẹn và tính sẵn có
Chief information
officer (CIO)
Giám đốc Công nghệ
thông tin
Vị trí cấp điều hành chịu trách nhiệm quản lý và giám sát các vấn đề về công nghệ thông tin trong đơn
vị, đảm bảo tính hữu hiệu và hiệu quả trong việc xử lý và cung cấp thông tin
Chief information
security officer
(CISO)
Giám đốc an toàn
thông tin
Người đứng đầu nhóm nhân viên chịu trách nhiệm an toàn thông tin và báo cáo cho Giám đốc công
nghệ thông tin
Communications
security
Bảo mật truyền thông
bảo vệ cho tất cả thiết bị, phương tiện truyền thông, công nghệ và nội dung số trong đơn vị
Community of
interest
Nhóm lợi ích liên quan
một nhóm người có cũng mối quan tâm, lợi ích, lợi nhuận trong đơn vị và chi sẻ cũng mục tiêu nhằm
giúp đơn vị đạt được mục tiêu.
5
Nguyễn Hữu Bình-Khoa Kế toán-Trường Kinh Doanh-UEH-huubinh_ais@ueh.edu.vn
5
Thuật ngữ
Computer security
An toàn máy tính
trong gian đoạn sơ khai của máy tính, an toàn máy tính mô tả các chi tiết liên quan đến yêu
cầu đảm bảo an toàn trước những nguy cơ bên ngoài. Hiện nay, thuật ngữ này được tiến
hóa thành an toàn thông tin nói chung
Confidentiality
Tính bảo mật
một thuộc tính của thông tin mô tả cách dữ liệu được bảo vệ khỏi tiết lộ hoặc tiếp xúc với
các cá nhân hoặc hệ thống trái phép
Data custodians
Người quản lý dữ
liệu
những người chịu trách nhiệm lưu trữ, duy trì và bảo vệ thông tin
Data owners
Chủ sở hữu dữ liệu
các cá nhân kiểm soát và do đó chịu trách nhiệm về bảo mật và sử dụng một tập hợp thông
tin cụ thể; chủ sở hữu dữ liệu có thể dựa vào người giám sát về các khía cạnh thực tế của
việc bảo vệ thông tin của họ, chỉ định người dùng nào được phép truy cập thông tin đó,
nhưng họ phải chịu trách nhiệm cuối cùng về điều đó
Data users
Người dùng dữ liệu
những người làm việc với thông tin để thực hiện công việc hàng ngày của họ và hỗ trợ sứ
mệnh của tổ chức
Information security
An toàn thông tin
Bảo vệ tính bảo mật, toàn vẹn, khả dụng của tài sản thông tin ở bất cứ nơi lưu trữ nào, hoặc
trong quá trình truyền tải - thông qua việc áp dụng các chính sách, quá trình đào tạo, huấn
luyện, nâng cao nhận thức cũng như sử dụng công nghệ
Information system (IS)
Hệ thống thông tin
Tập hợp phần cứng, phần mềm, con người, các thủ tục, mạng máy tính nhằm sử dụng các
nguồn lực công ngệ thông tin trong đơn vị
Nguyễn Hữu Bình-Khoa Kế toán-Trường Kinh Doanh-UEH-huubinh_ais@ueh.edu.vn
6
6
3
23-Mar-22
Thuật ngữ
Thuộc tính của thông tin mô tả dữ liệu và thông tin ở mức độ toàn bộ,
hoàn chỉnh và không gián đoạn
Integrity
Tính toàn vẹn
McCumber Cube
Khối
phương
McCumber
Network security
An toàn mạng
Personally
identifiable
information (PII)
Thông tin định
Tập hợp các thông tin có thể nhận dạng một cá nhân duy nhất
danh cá nhân
Physical security
An toàn vật lý
Bảo vệ các tài sản vật lý khỏi bị lạm dụng, sử dụng sai mục đích hoặc
truy cập trái phép
Possession
Chiếm hữu
thuộc tính thông tin mô tả cách thức quyền sở hữu hoặc kiểm soát dữ
liệu là hợp pháp hoặc được ủy quyền
lập Hình ảnh minh họa theo hình khối lập phương, là cách tiếp cận phổ biến
trong an toàn thông tin, mô tả các chiều theo các lĩnh vực liên quan an
toàn thông tin
Một phân nhánh của bảo mật truyền thông (communications security) –
nhằm bảo vệ các thành phần, nội dung của mạng mát tính
7
Nguyễn Hữu Bình-Khoa Kế toán-Trường Kinh Doanh-UEH-huubinh_ais@ueh.edu.vn
7
Thuật ngữ
một nhóm chức năng nhỏ gồm những người có kinh nghiệm trong một hoặc nhiều
khía cạnh của các lĩnh vực kỹ thuật và kỹ thuật cần thiết cho dự án mà họ được giao.
Project team
Đội dự án
Security
An toàn / an ninh / trạng thái an toàn và không bị nguy hiểm hoặc tổn hại. Ngoài ra, các hành động
bảo mật
được thực hiện để đảm bảo an toàn cho ai đó hoặc thứ gì đó
Software
(SA)
assurance
một cách tiếp cận theo phương pháp luận để phát triển phần mềm nhằm xây dựng
Bảo hiểm phần
bảo mật vào vòng đời phát triển hơn là giải quyết vấn đề đó ở các giai đoạn sau. SA
mềm / đảm bảo
cố gắng cố ý tạo ra phần mềm không có lỗ hổng và cung cấp phần mềm hiệu quả,
phần mềm
hiệu quả mà người dùng có thể tự tin triển khai
Systems development Chu kỳ phát triển
một phương pháp luận để thiết kế và triển khai hệ thống thông tin
life cycle (SDLC)
hệ thống
Top-down approach
Utility
Waterfall model
Tiếp cận từ trên
một phương pháp thiết lập các chính sách bảo mật do quản lý cấp trên khởi xướng
xuống
một thuộc tính của thông tin mô tả cách dữ liệu có giá trị hoặc tính hữu ích cho mục
Tính tiện ích
đích cuối cùng
Mô hình thác đổ
một loại SDLC trong đó mỗi giai đoạn của quy trình “chảy từ” thông tin thu được từ
giai đoạn trước, với nhiều cơ hội để quay lại các giai đoạn trước đó và thực hiện các
điều chỉnh
Nguyễn Hữu Bình-Khoa Kế toán-Trường Kinh Doanh-UEH-huubinh_ais@ueh.edu.vn
8
8
4
23-Mar-22
Thuật ngữ
• https://en.wikipedia.org/wiki/Vulnerability_(computing)
• https://csrc.nist.gov/glossary/term/vulnerability
9
Nguyễn Hữu Bình-Khoa Kế toán-Trường Kinh Doanh-UEH-huubinh_ais@ueh.edu.vn
9
1. Giới thiệu về an toàn thông tin
1.1. Lịch sử an toàn thông tin
1.2. Định nghĩa an toàn thông tin
1.3. Bản chất An toàn thông tin: Khoa học hay Nghệ thuật?
Nguyễn Hữu Bình-Khoa Kế toán-Trường Kinh Doanh-UEH-huubinh_ais@ueh.edu.vn
10
10
5
23-Mar-22
1.1. Lịch sử an toàn thông tin: trước 1960
• Nhu cầu an toàn máy tính và an toàn đối với thiết bị xuất hiện từ khi máy
tính ra đời
• Nhu cầu giải mã các thông điệp trong chiến tranh dẫn đến sự ra đời của các
thiết bị phá mã, là tiền thân của máy tính
• Để đảm bảo an toàn cho thiết bị, các biện pháp thông thường là nhận dạng
thông qua giấy phép, giấy tờ cá nhân, …
• Mức độ an toàn và bảo mật thô sơ trong giai đoạn đầu tiên
• Nguy cơ chính đối với an toàn là trộm cắp, gián điệp và phá hoại
11
Nguyễn Hữu Bình-Khoa Kế toán-Trường Kinh Doanh-UEH-huubinh_ais@ueh.edu.vn
11
1.1. Lịch sử an toàn thông tin: thập niên 60
• Sự phát triển của công nghệ và sự ra đời của máy tính lớn (Mainframe
Computer)
• Chiến tranh Lạnh; vai trò của thông tin, các chiến dịch gián điệp, chạy
đua vũ trang đòi hỏi các biện pháp an toàn và bảo mật cao hơn
• Cơ quan Chỉ đạo các Dự án Nghiên cứu Tiên tiến (ARPA) của Bộ Quốc
phòng Mỹ đã bắt đầu kiểm tra tính khả thi của hệ thống liên lạc nối
mạng dự phòng được thiết kế để hỗ trợ nhu cầu trao đổi thông tin của
quân đội.
• Larry Roberts, người sáng lập ra Internet, đã phát triển dự án ARPANET.
Nguyễn Hữu Bình-Khoa Kế toán-Trường Kinh Doanh-UEH-huubinh_ais@ueh.edu.vn
12
12
6
23-Mar-22
1.1. Lịch sử an toàn thông tin: thập niên 70 và 80
• ARPANET đã trở nên phổ biến và được sử dụng nhiều hơn, và khả năng
bị lạm dụng cũng cao hơn
• Robert M. Metcalfe đã chỉ ra rằng có những vấn đề cơ bản với bảo mật
ARPANET.
• Các trang web của người dùng được truy cập từ xa không có đủ các
biện pháp kiểm soát và biện pháp bảo vệ để đảm bảo an toàn dữ liệu.
• Thiếu các quy trình an toàn cho các kết nối tới ARPANET.
• Nhận dạng người dùng và phân quyền cho hệ thống không tồn tại.
13
Nguyễn Hữu Bình-Khoa Kế toán-Trường Kinh Doanh-UEH-huubinh_ais@ueh.edu.vn
13
1.1. Lịch sử an toàn thông tin: thập niên 70 và 80
• Vi phạm an toàn máy tính ngày càng nhiều, đa dạng, số lượng máy chủ
và người dùng tăng nhanh, càng đặt ra vấn đề an toàn mạng máy tính
trở nên cấp bách.
• Báo cáo của RAND Corporation 1970 (RAND R 609) xác định các thủ tục
kiểm soát và cơ chế cần thiết để bảo vệ hệ thống xử lý dữ liệu được máy
tính hóa – được xem là tài liệu đầu tiên cho việc nghiên cứu an toàn máy
tính
• Phạm vi an toàn máy tính được mở rộng, bao gồm: (1) Bảo mật dữ liệu;
(2) Hạn chế truy cập ngẫu nhiên và trái phép vào dữ liệu; (3) Sự tham gia
của nhân sự từ nhiều cấp của tổ chức vào bảo mật thông tin
Nguyễn Hữu Bình-Khoa Kế toán-Trường Kinh Doanh-UEH-huubinh_ais@ueh.edu.vn
14
14
7
23-Mar-22
1.1. Lịch sử an toàn thông tin: thập niên 70 và 80
• MULTICS: hệ thống được gọi là Dịch vụ Máy tính và Thông tin Đa kênh
(Multiplexed Information and Computing Service) là hệ điều hành đầu
tiên tích hợp bảo mật vào các chức năng cốt lõi của nó. MULTICS là một
hệ điều hành máy tính lớn (mainframe computer) được phát triển vào
giữa những năm 1960 bởi một tập đoàn gồm General Electric (GE), Bell
Labs và Viện Công nghệ Massachusetts (MIT).
• UNIX: giữa năm 1969, khi tái cấu trúc dự án MULTICS, một số nhà phát
triển trong dự án MULTICS đã tạo ra một hệ điều hành mới gọi là UNIX.
15
Nguyễn Hữu Bình-Khoa Kế toán-Trường Kinh Doanh-UEH-huubinh_ais@ueh.edu.vn
15
1.1. Lịch sử an toàn thông tin: thập niên 70 và 80
• MULTICS bảo mật với nhiều cấp độ bảo mật và mật khẩu, UNIX thì không.
• Cuối những năm 1970, bộ vi xử lý đã mang lại một kỷ nguyên mới về khả
năng tính toán; hệ thống xử lý dữ liệu phân tán, mạng máy tính, khả năng chia
sẽ dữ liệu và các mối đe dọa bảo mật là các vấn đề phát sinh khi các bộ vi xử
lý này được nối mạng.
• 1980s: TCP (the Transmission Control Protocol) and IP (the Internet Protocol) các giao thức được sử dụng trên Internet được phát triển vào đầu những năm
1980 cùng với DNS (Hệ thống tên miền).
• 1988, Cơ quan Chỉ đạo các Dự án Nghiên cứu Quốc phòng Tiên tiến (DARPA)
đã thành lập Nhóm Ứng cứu Khẩn cấp Máy tính (CERT) để giải quyết vấn đề
an ninh mạng.
Nguyễn Hữu Bình-Khoa Kế toán-Trường Kinh Doanh-UEH-huubinh_ais@ueh.edu.vn
16
16
8
23-Mar-22
1.1. Lịch sử an toàn thông tin: Thập niên 90
• Cuối thế kỷ 20, mạng máy tính trở nên phổ biến, nhu cầu kết nối các
mạng với nhau cũng tăng theo đã tạo ra Internet
• Ban đầu, việc triển khai Internet coi vấn đề an toàn ở một mức độ ưu
tiên thấp.
• Khi yêu cầu đối với máy tính nối mạng chiếm ưu thế, khả năng an toàn
vật lý của máy tính bị mất đi và thông tin lưu trữ trở nên dễ bị đe dọa
hơn trước các mối đe dọa bảo mật.
• Cuối những năm 1990 và những năm 2000, nhiều công ty lớn bắt đầu
tích hợp công khai các nội dung bảo mật trong tổ chức. Các sản phẩm
chống vi-rút đã trở nên phổ biến và an toàn thông tin bắt đầu hình
thành như một quy luật độc lập.
17
Nguyễn Hữu Bình-Khoa Kế toán-Trường Kinh Doanh-UEH-huubinh_ais@ueh.edu.vn
17
1.1. Lịch sử an toàn thông tin: thế kỷ 21
• Internet đưa hàng triệu mạng máy tính không an toàn và hàng tỷ hệ
thống máy tính vào giao tiếp liên tục với nhau.
• Tính bảo mật của thông tin được lưu trữ của mỗi máy tính phụ thuộc
vào mức độ bảo mật của mọi máy tính trong mạng máy tính đó.
• Trong những năm gần đây, nhận thức về nhu cầu nâng cao an toàn
thông tin ngày càng tăng, cũng như nhận thức rằng an toàn thông tin
là quan trọng đối với quốc phòng.
Nguyễn Hữu Bình-Khoa Kế toán-Trường Kinh Doanh-UEH-huubinh_ais@ueh.edu.vn
18
18
9
23-Mar-22
1.1. Lịch sử an toàn thông tin: thế kỷ 21
• Mối đe dọa ngày càng tăng của các cuộc tấn công mạng đã khiến các
chính phủ và các công ty nhận thức rõ hơn về sự cần thiết phải bảo vệ
các hệ thống điều khiển máy tính của các tiện ích và cơ sở hạ tầng
quan trọng khác.
• Chiến tranh thông tin và khả năng các hệ thống thông tin cá nhân và
doanh nghiệp có thể tổn hại nếu chúng không được bảo vệ
• Kể từ năm 2000, Sarbanes-Oxley và các luật khác liên quan đến quyền
riêng tư và trách nhiệm của công ty đã ảnh hưởng đến bảo mật máy
tính
• Cuộc tấn công vào Trung tâm Thương mại Thế giới vào ngày 11 tháng
9 năm 2001 đã dẫn đến những thay đổi lớn về luật pháp liên quan đến
bảo mật máy tính, đặc biệt là để tạo điều kiện cho cơ quan thực thi
pháp luật có khả năng thu thập thông tin về khủng bố.
19
Nguyễn Hữu Bình-Khoa Kế toán-Trường Kinh Doanh-UEH-huubinh_ais@ueh.edu.vn
19
1.2. Định nghĩa an toàn thông tin
Ủy ban về các hệ thống an ninh quốc
gia (CNSS) định nghĩa an toàn thông
tin là bảo vệ thông tin và các yếu tố
quan trọng của nó, bao gồm các hệ
thống và phần cứng dùng để sử
dụng, lưu trữ và truyền tải thông tin
Nguyễn Hữu Bình-Khoa Kế toán-Trường Kinh Doanh-UEH-huubinh_ais@ueh.edu.vn
20
20
10
23-Mar-22
1.2. Định nghĩa an toàn thông tin
An toàn thông tin bao gồm
các lĩnh vực: quản lý an toàn
thông tin, bảo mật dữ liệu,
và an ninh mạng.
21
Nguyễn Hữu Bình-Khoa Kế toán-Trường Kinh Doanh-UEH-huubinh_ais@ueh.edu.vn
21
1.2. Định nghĩa an toàn thông tin
C.I.A. Triad: C (confidentiality); I (integrity);
A (availability) – tam giác C.I.A : tiêu chuẩn
công nghiệp về bảo mật máy tính kể từ khi
phát triển máy tính lớn (mainframe) - Tiêu
chuẩn dựa trên ba đặc điểm của thông tin
có thể đem lại giá trị cho tổ chức: tính bảo
mật, tính toàn vẹn và tính khả dụng.
Nguyễn Hữu Bình-Khoa Kế toán-Trường Kinh Doanh-UEH-huubinh_ais@ueh.edu.vn
22
22
11
23-Mar-22
1.2. Định nghĩa an toàn thông tin
• Các khái niệm chính về An toàn thông tin
• Access: Quyền truy cập - Khả năng sử dụng, thao tác, sửa đổi hoặc ảnh hưởng
đến chủ thể, hoặc đối tượng khác.
• Asset: Tài sản – các nguồn lực của doanh nghiệp đang được bảo vệ. Tài sản có thể
có hình thái vật chất hay phi vật chất. Tài sản thông tin là trọng tâm của an toàn
thông tin
• Attack: Tấn công - Một hành động cố ý hoặc vô ý có thể làm hỏng hoặc làm tổn
hại đến thông tin và hệ thống hỗ trợ nó. Tấn công có thể là tấn công chủ động
hoặc tấn công bị động; tấn công trực tiếp hoặc tấn công gián tiếp
• Control, safeguard, or countermeasure: Kiểm soát, bảo vệ hoặc biện pháp đối
phó: Các cơ chế, chính sách hoặc quy trình bảo mật có thể chống lại các cuộc tấn
công thành công, giảm thiểu rủi ro, giải quyết các lỗ hổng và cải thiện tính bảo
mật trong tổ chức.
• Exploit: Khai thác - Một kỹ thuật được sử dụng để xâm phạm hệ thống.
23
Nguyễn Hữu Bình-Khoa Kế toán-Trường Kinh Doanh-UEH-huubinh_ais@ueh.edu.vn
23
1.2. Định nghĩa an toàn thông tin
• Các khái niệm chính về An toàn thông tin
• Exposure: điểm yếu bảo mật - Một tình trạng hoặc trạng thái bị phơi nhiễm;
trong bảo mật thông tin, điểm yếu bảo mật tồn tại khi kẻ tấn công biết được một
lỗ hổng.
• Loss: thiệt hại - tài sản thông tin bị hư hỏng hoặc bị phá hủy, sửa đổi hoặc tiết lộ
ngoài ý muốn hoặc trái phép hoặc bị từ chối sử dụng
• Protection profile or security posture: Hồ sơ bảo vệ hoặc thái độ bảo mật: Tập hợp
toàn bộ các biện pháp kiểm soát và bảo vệ, bao gồm chính sách, giáo dục, đào tạo
và nâng cao nhận thức và công nghệ, mà tổ chức thực hiện để bảo vệ tài sản.
• Risk: rủi ro – Sự kiện tiềm tàng không mong muốn có thể xảy ra gây thiệt hại cho
doanh nghiệp
• Subjects and objects of attack: Chủ thể tấn công và đối tượng bị tấn công
Nguyễn Hữu Bình-Khoa Kế toán-Trường Kinh Doanh-UEH-huubinh_ais@ueh.edu.vn
24
24
12
23-Mar-22
1.2. Định nghĩa an toàn thông tin
• Các khái niệm chính về An toàn thông tin
• Threat: Nguy cơ hoặc đe dọa - Bất kỳ sự kiện hoặc hoàn cảnh nào có khả
năng ảnh hưởng xấu đến hoạt động và tài sản của tổ chức.
• Threat agent: tác nhân đe dọa – một trường hợp cụ thể hoặc một thành
phần của một mối đe dọa
• Threat event: Sự kiện đe dọa – sự kiện xảy ra do tác nhân đe dọa gây ra
• Threat source: Nguồn gốc đe dọa – tập hợp các tác nhân đe dọa
• Vulnerability: Nhược điểm / điểm yếu tiềm ẩn có sẵn trong hệ thống hoặc
trong các hệ thống phòng thủ
25
Nguyễn Hữu Bình-Khoa Kế toán-Trường Kinh Doanh-UEH-huubinh_ais@ueh.edu.vn
25
1.2. Định nghĩa an toàn thông tin
• Các đặc điểm quan trọng của thông tin
• Availability: Tính khả dụng – tính chất của thông tin cho phép người dùng khi cần
truy cập thông tin mà không bị can thiệp hoặc cản trở và truy xuất thông tin đó ở định
dạng bắt buộc.
• Accuracy: Tính chính xác - khi thông tin không có lỗi hoặc sai sót, có giá trị mà người
dùng mong đợi. Nếu thông tin chứa giá trị khác với mong đợi của người dùng do
chỉnh sửa nội dung, thì thông tin đó không còn chính xác.
• Authenticity: Tính xác thực - chất lượng hoặc trạng thái của thông tin gốc hoặc
nguyên bản, thay vì sao chép hoặc chế tạo. Thông tin xác thực khi nó là thông tin được
tạo, đặt, lưu trữ hoặc chuyển giao nguyên bản.
• Confidentiality :Tính bảo mật - chất lượng hoặc trạng thái thông tin ngăn chặn việc
tiết lộ hoặc lộ bí mật thông tin với các cá nhân hoặc hệ thống không được phép. Tính
bảo mật đảm bảo rằng chỉ những người dùng có quyền, đặc quyền và nhu cầu truy
cập thông tin mới có thể truy cập.
Nguyễn Hữu Bình-Khoa Kế toán-Trường Kinh Doanh-UEH-huubinh_ais@ueh.edu.vn
26
26
13
23-Mar-22
1.2. Định nghĩa an toàn thông tin
• Các đặc điểm quan trọng của thông tin
• Integrity :Tính toàn vẹn – thông tin đầy đủ, hoàn chỉnh và không bị gián đoạn. Tính
toàn vẹn của thông tin bị đe dọa khi thông tin bị lộ, hỏng, bị phá hủy hoặc do các
hành vi khác làm gián đoạn trạng thái nguyên bản của nó.
• Utility: Tiện ích - chất lượng hoặc trạng thái có giá trị cho một số mục đích hoặc kết
quả. Thông tin có giá trị khi nó phục vụ một mục đích cụ thể. Điều này có nghĩa là
nếu thông tin có sẵn, nhưng không ở định dạng có ý nghĩa đối với người dùng cuối,
thì nó sẽ không hữu ích.
• Possession: Chiếm hữu - chất lượng hoặc trạng thái có quyền sở hữu hoặc kiểm soát
một số đối tượng hoặc vật phẩm. Thông tin được cho là thuộc quyền sở hữu của một
người nếu một người có được nó, không phụ thuộc vào định dạng hoặc các đặc điểm
khác. Mặc dù vi phạm bảo mật luôn dẫn đến vi phạm quyền sở hữu, vi phạm sở hữu
không phải lúc nào cũng dẫn đến vi phạm bảo mật
27
Nguyễn Hữu Bình-Khoa Kế toán-Trường Kinh Doanh-UEH-huubinh_ais@ueh.edu.vn
27
1.3. Bản chất an toàn thông tin
• Tính đa dạng, phức tạp, không có nguyên mẫu, luôn linh hoạt, luôn sáng tạo trong
lĩnh vực bảo mật, sự cân bằng trong việc vận dụng kiến thức bảo mật, sự tương tác
bảo mật giữa các hệ thống con trong một hệ thống lớn dẫn đến tính nghệ thật của
an toàn thông tin.
• Đặc tính của công nghệ và khoa học máy tính, tính nghiêm túc và các nguyên tắc
trong phương pháp và kỹ thuật, sự tương tác giữa phần cứng và phần mềm và tri
thức về bảo mật cho thấy tính khoa học của an toàn thông tin
• Sự tương tác của con người với hệ thống, hành vi của người dùng tác động đến bảo
mật, nhận thức về rủi ro trong môi trường CNTT cho thấy an toàn thông tin mang
tính chất của khoa học xã hội
Nguyễn Hữu Bình-Khoa Kế toán-Trường Kinh Doanh-UEH-huubinh_ais@ueh.edu.vn
28
28
14
23-Mar-22
1.3. Bản chất an toàn thông tin
Nghệ thuật:
Sáng tạo và
linh hoạt trong
triển khai
Khoa học:
Đặc tính
công nghệ và
kỹ thuật
Khoa học xã hội:
Hành vi và
nhận thức của
con người
29
Nguyễn Hữu Bình-Khoa Kế toán-Trường Kinh Doanh-UEH-huubinh_ais@ueh.edu.vn
29
Nội dung
1. Giới thiệu về an toàn thông tin
1.1. Lịch sử an toàn thông tin
1.2. Định nghĩa an toàn thông tin
1.3. Bản chất An toàn thông tin: Khoa học hay Nghệ thuật?
2. Mô hình an toàn thông tin
2.1. Mô hình an toàn CNSS
2.2. Các thành phần của hệ thống thông tin
2.3. Cân bằng giữa an toàn thông tin và truy cập
3. Triển khai an toàn thông tin
3.1. Cách tiếp cận thực hiện an toàn thông tin
3.2. An toàn thông tin và chu kỳ phát triển hệ thống
4. An toàn thông tin trong doanh nghiệp
4.1. Chuyên gia an toàn thông tin trong doanh nghiệp
4.2. Các nhóm người dùng ảnh hưởng đến an toàn thông tin trong DN
Nguyễn Hữu Bình-Khoa Kế toán-Trường Kinh Doanh-UEH-huubinh_ais@ueh.edu.vn
30
30
15
23-Mar-22
2. Mô hình an toàn thông tin
2.1. Mô hình an toàn CNSS
2.2. Các thành phần của hệ thống thông tin
2.3. Cân bằng giữa an toàn thông tin và truy cập
31
Nguyễn Hữu Bình-Khoa Kế toán-Trường Kinh Doanh-UEH-huubinh_ais@ueh.edu.vn
31
2.1. Mô hình an toàn CNSS
• Committee on National Security Systems: Ủy ban Hệ thống An ninh
Quốc gia (Hoa kỳ):
https://www.cnss.gov/CNSS/issuances/Instructions.cfm
• Mô hình an toàn CNSS được John McCumber tạo ra năm 1991, được
gọi là khối lập phương McCumber, bao gồm 27 khối tương ứng với các
lĩnh vực an toàn thông tin
• Trong quy trình bảo mật – an toàn hệ thống cần đảm bảo mỗi khối
được xác định và được giải quyết một cách đúng đắn.
Nguyễn Hữu Bình-Khoa Kế toán-Trường Kinh Doanh-UEH-huubinh_ais@ueh.edu.vn
32
32
16
23-Mar-22
2.1. Mô hình an toàn CNSS
33
Nguyễn Hữu Bình-Khoa Kế toán-Trường Kinh Doanh-UEH-huubinh_ais@ueh.edu.vn
33
2.1. Mô hình an toàn CNSS
Nguyễn Hữu Bình-Khoa Kế toán-Trường Kinh Doanh-UEH-huubinh_ais@ueh.edu.vn
34
34
17
23-Mar-22
2.2. Các thành phần của hệ thống thông tin
35
Nguyễn Hữu Bình-Khoa Kế toán-Trường Kinh Doanh-UEH-huubinh_ais@ueh.edu.vn
35
2.2. Các thành phần của hệ thống thông tin
• HTTT có 6 thành phần: Con người, phần cứng, phần mềm, mạng máy
tính, các chính sách và thủ tục, và dữ liệu
• Mỗi thành phần có điểm mạnh, điểm yếu, tính chất và công dụng riêng
• Mỗi thành phần có các yêu cầu về an toàn và bảo mật khác nhau
Nguyễn Hữu Bình-Khoa Kế toán-Trường Kinh Doanh-UEH-huubinh_ais@ueh.edu.vn
36
36
18
23-Mar-22
2.2. Các thành phần của hệ thống thông tin
• Con người: Luôn là mối đe dọa đối với an toàn thông tin. Các chính
sách, thủ tục, việc đào tạo, nhận thức đạo đức và sử dụng công nghệ
đúng đắn sẽ giúp hạn chế điểm yếu này.
• Phần cứng: công nghệ vật lý giúp lưu trữ dữ liệu và phần mềm, cung
cấp giao diện để nhập liệu và truy xuất thông tin. Khi phần cứng có thệ
bị tiếp cận, hệ thống có thể bị phá hủy hoặc thông tin bị đánh cắp.
• Phần mềm: Hệ điều hành, chương trình, tiện ích khác. Do được lập trình
nên phần mềm hàm chứa nhiều nguy cơ, từ lỗi lập trình cho đến sử
dụng sai mục đích.
37
Nguyễn Hữu Bình-Khoa Kế toán-Trường Kinh Doanh-UEH-huubinh_ais@ueh.edu.vn
37
2.2. Các thành phần của hệ thống thông tin
• Dữ liệu: Dữ liệu được HTTT lưu trữ, xử lý, truyền tải. Dữ liệu là tài sản
quan trọng của doanh nghiệp và thường là mục tiêu tấn công. Đảm
bảo an toàn dữ liệu cần được thực hiện nghiêm túc và đầy đủ
• Các chính sách và thủ tục: Các hướng dẫn bằng văn bản để hoàn thành
một nhiệm vụ cụ thể. Đào tạo, huấn luyện, giám sát quy trình, đánh giá
định kỳ giúp đảm bảo các thủ tục có thể hoàn thành vai trò của minh
• Mạng máy tính: Các máy tính và hệ thống máy tính kết nối với nhau
hình thành nên mạng máy tính, giúp HTTT truyền dữ liệu và thông tin,
hỗ trợ người dùng thực hiện các tác vụ và ra quyết định. Mạng máy
tính có nhiều nguy cơ, do đó kiểm soát lưu lượng và kiểm soát truy cập
là cần thiết.
Nguyễn Hữu Bình-Khoa Kế toán-Trường Kinh Doanh-UEH-huubinh_ais@ueh.edu.vn
38
38
19
23-Mar-22
2.3. Cân bằng giữa ATTT và khả năng truy cập
39
Nguyễn Hữu Bình-Khoa Kế toán-Trường Kinh Doanh-UEH-huubinh_ais@ueh.edu.vn
39
2.3. Cân bằng giữa ATTT và khả năng truy cập
• Không thể có được an toàn thông tin tuyệt đối, hoàn hảo
• An toàn thông tin là quá trình, không phải là mục tiêu
• Hệ thống luôn sẵn sàng để truy cập sẽ dẫn đến nguy cơ bị tấn công,
ngược lại, nếu cô lập hệ thống để đảm bảm an toàn cao thì không thể
truy cập được
• Cân bằng giữa an toàn và truy cập nhằm đảm bảo sự hợp lý giữa khả
năng truy cập và việc hạn chế rủi ro – với một mức độ bảo mật phù
hợp.
• An toàn thông tin và khả năng truy cập đều phục vụ cho mục tiêu
chung của doanh nghiệp, và do đó phải hài hòa và cân xứng
Nguyễn Hữu Bình-Khoa Kế toán-Trường Kinh Doanh-UEH-huubinh_ais@ueh.edu.vn
40
40
20
23-Mar-22
Nội dung
1. Giới thiệu về an toàn thông tin
1.1. Lịch sử an toàn thông tin
1.2. Định nghĩa an toàn thông tin
1.3. Bản chất An toàn thông tin: Khoa học hay Nghệ thuật?
2. Mô hình an toàn thông tin
2.1. Mô hình an toàn CNSS
2.2. Các thành phần của hệ thống thông tin
2.3. Cân bằng giữa an toàn thông tin và truy cập
3. Triển khai an toàn thông tin
3.1. Cách tiếp cận thực hiện an toàn thông tin
3.2. An toàn thông tin và chu kỳ phát triển hệ thống
4. An toàn thông tin trong doanh nghiệp
4.1. Chuyên gia an toàn thông tin trong doanh nghiệp
4.2. Các nhóm người dùng ảnh hưởng đến an toàn thông tin trong DN
41
Nguyễn Hữu Bình-Khoa Kế toán-Trường Kinh Doanh-UEH-huubinh_ais@ueh.edu.vn
41
3. Triển khai an toàn thông tin
3.1. Cách tiếp cận thực hiện an toàn thông tin
3.2. An toàn thông tin và Chu kỳ phát triển hệ thống
Nguyễn Hữu Bình-Khoa Kế toán-Trường Kinh Doanh-UEH-huubinh_ais@ueh.edu.vn
42
42
21
23-Mar-22
3.1. Cách tiếp cận thực hiện an toàn thông tin
43
Nguyễn Hữu Bình-Khoa Kế toán-Trường Kinh Doanh-UEH-huubinh_ais@ueh.edu.vn
43
3.1. Cách tiếp cận thực hiện an toàn thông tin
• Tiếp cận từ dưới lên (bottom-up approach)
• Bắt đầu từ các hành vi từ cấp dưới nhằm cải thiện an toàn hệ thống
• Dựa trên kỹ năng và kiến thức của quản trị viên hệ thống
• Gắn liền với hiểu biết chuyên sâu của quản trị viên hệ thống với hệ thống có liên
quan
• Hiểu rõ đặc tính của hệ thống, hiểu rõ nguy cơ và cách thức hạn chế nguy cơ
• Thiếu nhất quán, thiếu sự hỗ trợ của cấp trên, thiếu sự hỗ trợ từ các hệ thống
khác và hạn chế quyền hạn thực thi
• Khả năng thành công thấp
Nguyễn Hữu Bình-Khoa Kế toán-Trường Kinh Doanh-UEH-huubinh_ais@ueh.edu.vn
44
44
22
23-Mar-22
3.1. Cách tiếp cận thực hiện an toàn thông tin
• Tiếp cận từ trên xuống (top-down approach)
• Dự án an toàn thông tin được khởi xướng bởi các nhà quản lý cấp trên, những
người ban hành các chính sách, thủ tục và quy trình; đề xuất các mục tiêu và kết
quả mong đợi; và xác định trách nhiệm cá nhân cho mỗi hành động.
• Có sự hỗ trợ từ cấp trên và khai thác các nguồn lực của doanh nghiệp, quy trình,
kế hoạch rõ ràng và ảnh hưởng toàn doanh nghiệp
• Cách tiếp cận này được thể hiện phổ biến thông qua chiến lược phát triển hệ
thống tiêu chuẩn – được gọi là chu kỳ phát triển hệ thống
• Khả năng thành công cao
45
Nguyễn Hữu Bình-Khoa Kế toán-Trường Kinh Doanh-UEH-huubinh_ais@ueh.edu.vn
45
3.2. An toàn thông tin và chu kỳ phát triển HT
• Để triển khai an toàn thông tin vào hệ thống thông tin của doanh
nghiệp cần đảm bảo rằng an toàn thông tin là một phần cơ bản trong
chu kỳ phát triển hệ thống
• An toàn thông tin cần được quản trị như mọi hệ thống thông tin trong
doanh nghiệp
• Cách tiếp cận truyền thống để triển khai an toàn thông tin có nhiều
cách thức khác nhau như JAD (joint application development – phát
triển ứng dụng liên kết); RAD (rapid application development - phát
triển ứng dụng nhanh); DevOps – phương pháp dựa trên sự tích hợp
nhu cầu của nhóm phát triển (development team) và nhóm vận hành
(operations team)
Nguyễn Hữu Bình-Khoa Kế toán-Trường Kinh Doanh-UEH-huubinh_ais@ueh.edu.vn
46
46
23
23-Mar-22
3.2. An toàn thông tin và chu kỳ phát triển HT
• Chu kỳ phát triển hệ thống - SDLC (Systems Development Life Cycle):
SDLC là một phương pháp luận được áp dụng trong phân tích, thiết kế,
thực hiện và vận hành hệ thống, bao gồm các cách thức tiếp cận chính
thức để giải quyết vấn đề dựa trên chuỗi các thủ tục có cấu trúc, quy
trình chặt chẽ, không bỏ sót các bước cho đến khi đạt được mục tiêu
cuối cùng.
• SDLC có nhiều cách thức thực hiện, bao gồm SDLC truyền thống, tích
hợp bảo hiểm phần mềm (Software Assurance) vào quá trình phát triển
phần mềm của hệ thống; áp dụng các nguyên tắc thiết kế phần mềm
hoặc phương pháp tiếp cận dựa trên các tiêu chuẩn NIST (Viện Tiêu
chuẩn và Công nghệ Quốc gia - The National Institute of Standards and
Technology) trong bảo đảm an toàn cho SDLC
47
Nguyễn Hữu Bình-Khoa Kế toán-Trường Kinh Doanh-UEH-huubinh_ais@ueh.edu.vn
47
3.2. An toàn thông tin và chu kỳ phát triển HT:
SDLC truyền thống
Nguyễn Hữu Bình-Khoa Kế toán-Trường Kinh Doanh-UEH-huubinh_ais@ueh.edu.vn
48
48
24
23-Mar-22
3.2. An toàn thông tin và chu kỳ phát triển HT:
Bảo hiểm phần mềm
• Bảo hiểm phần mềm: Một phương pháp tiếp cận để phát triển phần
mềm nhằm thiết lập an toàn ngay trong chu kỳ phát triển hơn là giải
quyết an toàn đó ở các giai đoạn sau, nhằm đạt được các phần mềm
không có lổ hổng bảo mật, cung cấp phần mềm hữu hiệu và hiệu quả
cho người sử dụng.
• Rất nhiều vần đề liên quan bảo mật hệ thống có nguyên nhân từ yếu tố
phần mềm
• An toàn hệ thống yêu cầu phần mềm an toàn hoặc ít nhất có khả năng
an toàn
• Việc xác định sự cần thiết cho việc lập kế hoạch cho các mục tiêu bảo
mật trong SDLC và thiết lập thủ tục để tạo ra phần mềm có khả năng
triển khai an toàn được gọi là bảo hiểm phần mềm
49
Nguyễn Hữu Bình-Khoa Kế toán-Trường Kinh Doanh-UEH-huubinh_ais@ueh.edu.vn
49
3.2. An toàn thông tin và chu kỳ phát triển HT:
Bảo hiểm phần mềm
• Bộ Quốc phòng Hoa Kỳ đã khởi động Sáng kiến Bảo hiểm Phần mềm vào
năm 2003, dẫn đến việc xuất bản Khối Kiến thức Chung (CBK) về Bảo hiểm
Phần mềm An toàn (SwA).
• Có hai khía cạnh cần xem xét:
• (1) Các hoạt động kỹ thuật hoặc các khía cạnh của các hoạt động có liên quan đến
việc đạt được phần mềm an toàn là gì?
• (2) Những kiến thức cần thiết để thực hiện các hoạt động hoặc khía cạnh này?
Nguyễn Hữu Bình-Khoa Kế toán-Trường Kinh Doanh-UEH-huubinh_ais@ueh.edu.vn
50
50
25
23-Mar-22
3.2. An toàn thông tin và chu kỳ phát triển HT:
Nguyên tắc thiết kế phần mềm
• Phát triển phần mềm tốt sẽ tạo ra một sản phẩm hoàn chỉnh đáp ứng
tất cả các thông số kỹ thuật thiết kế của nó. Các cân nhắc về An toàn
thông tin là một thành phần quan trọng của các thông số kỹ thuật này.
• Các nguyên tắc thiết kế phần mềm an toàn phổ biến: Tính kinh tế của cơ
chế thiết kế; Mặc định không an toàn; điều tiết hoàn chỉnh; Thiết kế mở;
Tách biệt đặc quyền; Đặc quyền ít nhất; Cơ chế chung ít nhất; Khả năng
chấp nhận tâm lý
51
Nguyễn Hữu Bình-Khoa Kế toán-Trường Kinh Doanh-UEH-huubinh_ais@ueh.edu.vn
51
3.2. An toàn thông tin và chu kỳ phát triển HT:
Tiếp cận NIST trong an toàn SDLC
• Viện Tiêu chuẩn và Công nghệ Quốc gia (NIST) đã điều chỉnh đơn giản
hóa chu kỳ phát triển hệ thống dựa trên 5 giai đoạn: (1) Khởi đầu; (2)
Phát triển / Mua sắm; (3) Thực hiện / Đánh giá; (4) Vận hành / Bảo trì; và
(5) Thanh lý
• NIST khuyến cáo các tổ chức tích hợp các bước bảo mật CNTT liên quan
của SDLC vào quy trình phát triển hệ thống, an toàn thông tin phải được
thiết kế trong một hệ thống ngay từ đầu chứ không phải sau khi được
thực hiện
Nguyễn Hữu Bình-Khoa Kế toán-Trường Kinh Doanh-UEH-huubinh_ais@ueh.edu.vn
52
52
26
23-Mar-22
3.2. An toàn thông tin và chu kỳ phát triển HT:
SDLC của MicroSoft
53
Nguyễn Hữu Bình-Khoa Kế toán-Trường Kinh Doanh-UEH-huubinh_ais@ueh.edu.vn
53
Nội dung
1. Giới thiệu về an toàn thông tin
1.1. Lịch sử an toàn thông tin
1.2. Định nghĩa an toàn thông tin
1.3. Bản chất An toàn thông tin: Khoa học hay Nghệ thuật?
2. Mô hình an toàn thông tin
2.1. Mô hình an toàn CNSS
2.2. Các thành phần của hệ thống thông tin
2.3. Cân bằng giữa an toàn thông tin và truy cập
3. Triển khai an toàn thông tin
3.1. Cách tiếp cận thực hiện an toàn thông tin
3.2. An toàn thông tin và chu kỳ phát triển hệ thống
4. An toàn thông tin trong doanh nghiệp
4.1. Chuyên gia an toàn thông tin trong doanh nghiệp
4.2. Các nhóm người dùng ảnh hưởng đến an toàn thông tin trong DN
Nguyễn Hữu Bình-Khoa Kế toán-Trường Kinh Doanh-UEH-huubinh_ais@ueh.edu.vn
54
54
27
23-Mar-22
4. An toàn thông tin trong doanh nghiệp
4.1. Chuyên gia an toàn thông tin trong doanh nghiệp
4.2. Các nhóm người dùng ảnh hưởng đến an toàn thông tin
trong doanh nghiệp (nhóm lợi ích liên quan)
55
Nguyễn Hữu Bình-Khoa Kế toán-Trường Kinh Doanh-UEH-huubinh_ais@ueh.edu.vn
55
4.1. Chuyên gia an toàn thông tin trong DN
• Giám đốc thông tin (chief information officer - CIO): Một vị trí ở cấp
điều hành; giám sát công nghệ máy tính của doanh nghiệp và có trách
nhiệm trong việc tạo ra hiệu quả trong xử lý và truy cập thông tin của
doanh nghiệp; tư vấn hoạch định chiến lược CNTT cho Giám đốc điều
hành và triển khai chiến lược của doanh nghiệp liên quan đến CNTT.
• Giám đốc an toàn thông tin (chief information security officer - CISO):
CISO thường không phải là một vị trí cấp điều hành, báo cáo cho CIO,
chịu trách nhiệm chính trong vấn đề an toàn và bảo mật hệ thống
thông tin, về việc đánh giá, quản lý và thực hiện an toàn thông tin.
Nguyễn Hữu Bình-Khoa Kế toán-Trường Kinh Doanh-UEH-huubinh_ais@ueh.edu.vn
56
56
28
23-Mar-22
4.1. Chuyên gia an toàn thông tin trong DN
• Đội dự án an toàn thông tin (Information Security Project Team): Tập
hợp các cá nhân có kinh nghiệm trong an toàn và bảo mật khi có yêu
cầu; bao gồm đại diện lãnh đạo doanh nghiệp, trưởng nhóm, chuyên
gia phát triển chính sách bảo mật, chuyên gia đánh giá rủi ro, chuyên
gia bảo mật, quản trị viên hệ thống và người dùng hệ thống.
• Người chịu trách nhiệm về dữ liệu bao gồm: Người sở hữu dữ liệu,
người bảo quản dữ liệu và người sử dụng dữ liệu
57
Nguyễn Hữu Bình-Khoa Kế toán-Trường Kinh Doanh-UEH-huubinh_ais@ueh.edu.vn
57
4.2. Các nhóm người dùng ảnh hưởng đến an
toàn thông tin trong doanh nghiệp
• Trong doanh nghiệp, có nhiều nhóm người dùng ảnh hưởng đến an
toàn thông tin. Mỗi nhóm có vai trò và trách nhiệm khác nhau cũng
như các mối quan tâm khác nhau đối với an toàn thông tin. Mỗi thành
viên trong mỗi nhóm được liên kết với nhau thông qua các giá trị
tương đồng với nhau và cũng chia sẽ các mục tiêu chúng.
• Thông thường trong doanh nghiệp có ba nhóm an toàn thông tin:
nhóm quản lý chung, nhóm quản lý CNTT và nhóm quản lý an toàn
thông tin
Nguyễn Hữu Bình-Khoa Kế toán-Trường Kinh Doanh-UEH-huubinh_ais@ueh.edu.vn
58
58
29
23-Mar-22
4.2. Các nhóm người dùng ảnh hưởng đến an
toàn thông tin trong doanh nghiệp
• Nhóm quản lý chung: bao gồm toàn bộ người sử dụng hệ thống công
nghệ thông tin (theo góc nhìn của nhóm quản lý công nghệ thông tin)
và cũng là đối tượng bảo mật theo góc nhìn của nhóm quản lý an toàn
thông tin
• Nhóm quản lý công nghệ thông tin: bao gồm các chuyên gia CNTT và
các nhà quản lý CNTT, hỗ trợ cho việc vận hành hệ thống CNTT trong
doanh nghiệp
• Nhóm quản lý an toàn thông tin: bao gồm các chuyên gia an toàn và
bảo mật, tập trung cho mục tiêu đảm bảo an toàn và bảo vệ thông tin,
dữ liệu, hệ thống của doanh nghiệp khỏi các cuộc tấn công.
59
Nguyễn Hữu Bình-Khoa Kế toán-Trường Kinh Doanh-UEH-huubinh_ais@ueh.edu.vn
59
Nguyễn Hữu Bình-Khoa Kế toán-Trường Kinh Doanh-UEH-huubinh_ais@ueh.edu.vn
60
60
30
Download
advertisement