an toàn và bảo mật thông tin trong một khoảng thời gian nhất định hay trong tổng số lần quan sát sự kiện. Còn biên độ rủi ro cho thông tin thể hiện tính chất nguy hiểm, mức độ thiệt hại gây ra nghĩa là thể hiện hậu quả hay tổn thất do rủi ro gây ra về tài chính, tài nguyên thông tin,...
c) Phân loại rủi ro cho thông tin trong hệ thống thông tin
Tùy thuộc vào các tiêu chí phân loại khác nhau, các rủi ro đối với hệ thống thông tin cũng như đối với sự an toàn và bảo mật thông tin trong hệ thống được phân thành các loại khác nhau. Các tiêu chí để phân loại rủi ro cho thông tin trong hệ thống thông tin bao gồm: phân theo nguyên nhân gây ra rủi ro; theo kết quả hay hậu quả; theo nguồn gốc; theo đối tượng gánh chịu rủi ro; theo khả năng kiểm soát, giảm tổn thất; theo các giai đoạn phát triển của đối tượng chịu rủi ro.
Nhằm xác định được những sự cố và những tổn thất nào có thể gặp phải gây mất an toàn và bảo mật thông tin nếu hệ thống thông tin của tổ chức, doanh nghiệp bị tấn công, thông thường các rủi ro lớn nhất mà hệ thống thông tin của doanh nghiệp gặp phải bao gồm hai loại là rủi ro đến từ bên ngoài hệ thống và rủi ro từ chính nội bộ hoạt động của hệ thống.
Ngoài ra, có nhiều cách phân loại rủi ro cho thông tin khác như rủi ro chủ quan, khách quan; rủi ro tài chính, nhân lực, năng suất,... hay rủi ro bên trong và bên ngoài doanh nghiệp.
1.3.2.2. Quản trị rủi ro trong hệ thống thông tin
a) Khái niệm
Quản trị rủi ro trong hệ thống thông tin là quá trình xác định, nhận dạng, phân tích, đánh giá, đo lường và kiểm soát rủi ro như việc xác định được các lỗ hổng trong hệ thống thông tin của tổ chức hoặc xác định được các vấn đề gặp phải với các thành phần của hệ thống thông tin của tổ chức, từ đó thực hiện các biện pháp nhằm giảm thiểu các rủi ro này xuống mức có thể chấp nhận được.
Một hệ thống thông tin được coi là được quản trị rủi ro tốt nếu có thể cân bằng được ba yếu tố đảm bảo tính bí mật, tính toàn vẹn và tính sẵn sàng cho hệ thống thông tin cũng như cho thông tin trong hệ thống thông tin của tổ chức, doanh nghiệp.
b) Vai trò của quản trị rủi ro trong hệ thống thông tin
Trong tổ chức nói chung, cùng với quản trị chiến lược và quản trị hoạt động, quản trị rủi ro ngày nay được coi là chức năng tất yếu của quản trị tổ chức, doanh nghiệp. Đối với hệ thống thông tin, xuất phát từ vai trò, vị trí của nó trong hoạt động chung của tổ chức, doanh nghiệp, hoạt động quản trị rủi ro trong hệ thống thông tin có vai trò đảm bảo cho hệ thống cung cấp đầy đủ, chính xác, kịp thời những thông tin đích thực phục vụ cho mọi đối tượng theo yêu cầu nâng cao hiệu quả sản xuất kinh doanh. Các vai trò cơ bản của quản trị rủi ro trong hệ thống thông tin là:
Thứ nhất, nhận dạng, xác định và hạn chế ở mức thấp nhất những nguyên nhân gây ra rủi ro trong hoạt động của hệ thống thông tin, gây mất an toàn và bảo mật của thông tin trong hệ thống thông tin; góp phần tạo dựng môi trường hoạt động an toàn cho tổ chức, doanh nghiệp.
Thứ hai, hạn chế, xử lý tốt nhất các tổn thất và những hậu quả khi hệ thống thông tin bị tấn công trong trường hợp không thể né tránh được; giúp nhanh chóng khôi phục, ổn định và phát triển hệ thống thông tin để có thể cung cấp thông tin tốt nhất cho tổ chức, doanh nghiệp để nâng cao hiệu quả hoạt động sản xuất kinh doanh.
c) Các nội dung của quản trị rủi ro trong hệ thống thông tin
Các nội dung của hoạt động quản trị rủi ro trong hệ thống thông tin được mô tả trong Hình 1.4. Theo đó, hoạt động quản trị rủi ro trong hệ thống thông tin có ba nội dung chính là: Nhận dạng rủi ro; Đánh giá rủi ro và Kiểm soát rủi ro.
QUẢN TRỊ RỦI RO
Xác địn
Phân loại và xác định độ ưu tiên
Nhận dạng và liệt kê các rủi ro
Nhận dạng rủi ro
Đánh giá rủi ro
Nhậ
Hình 1.4. Các nội dung quản trị rủi ro trong hệ thống thông tin
(Nguồn Mark Rhodes - Ousley [16])
Nhận dạng rủi ro trong hệ thống thông tin là quá trình xác định một cách liên tục và có hệ thống các nguy cơ, hiểm họa, rủi ro có thể gây ra cho hoạt động của hệ thống thông tin gây tổn hại cho các loại tài sản trong hệ thống; cũng như gây mất an toàn và bảo mật cho thông tin trong hệ thống.
Nhiệm vụ của nhà quản trị trong việc thực hiện nội dung này là: xác định danh sách các rủi ro có thể xảy ra trong hoạt động của hệ thống thông tin, phân loại, sắp xếp và phân nhóm theo thứ tự ưu tiên dựa trên mức độ quan trọng của các tài sản và chỉ ra các nguy cơ đặc biệt nghiêm trọng.
Đánh giá rủi ro đối với hệ thống thông tin là quá trình nghiên cứu những lỗ hổng trong bảo mật và các nguy cơ, mối đe dọa, hiểm họa đối với các loại tài sản trong hệ thống thông tin của tổ chức, đơn vị; xác định nguyên nhân dẫn đến những nguy cơ, hiểm họa này; đo lường, phân tích và đưa ra các đánh giá định lượng về những tổn thất mà rủi ro của hệ thống có thể gây ra để có thể lựa chọn giải pháp phù hợp phòng ngừa, loại bỏ hoặc hạn chế làm giảm nhẹ thiệt hại.
Nhiệm vụ của nhà quản trị trong giai đoạn này là phân tích các rủi ro đã được nhận dạng, đánh giá, dự báo xác suất xảy ra rủi ro và mức độ thiệt hại nếu rủi do xảy ra.
Kiếm soát rủi ro cho hệ thống thông tin bao gồm việc lựa chọn một chiến lược phù hợp với mỗi tổ chức đơn vị, bao gồm việc sử dụng các phương tiện, công cụ, kỹ thuật khác nhau nhằm né tránh, phòng ngừa, giảm thiểu và chuyển giao các rủi ro có thể xảy ra trong quá trình hoạt động của hệ thống thông tin; sau đó lựa chọn chiến lược kiểm soát đúng đắn nhất để cài đặt và thực hiện.
d) Các nguyên tắc quản trị rủi ro trong hệ thống thông tin
Cũng như trong quản trị rủi ro nói chung, hoạt động quản trị rủi ro trong hệ thống thông tin cần tuân thủ các nguyên tắc cơ bản sau:
Nguyên tắc 1: Không chấp nhận các rủi ro không cần thiết, chấp nhận rủi ro khi lợi ích thu được lớn hơn chi phí bỏ ra.
Thực tế cho thấy, trong rủi ro thường tiềm ẩn các cơ hội (“trong cái rủi có cái may”) và nếu rủi ro không xảy ra thì cơ hội thu lợi sẽ xuất hiện. Vì thế, một số nhà quản trị kinh doanh sẵn sàng chấp nhận một số rủi ro nhất định, nhất là những rủi ro suy đoán. Tuy nhiên, việc chấp nhận rủi ro phải phù hợp với quy định của luật pháp và phải phù hợp với chuẩn mực đạo đức. Nói khác đi, không phải rủi ro nào cũng được chấp nhận. Mặt khác, khi chấp nhận rủi ro nhà quản trị phải tính đến khả năng thiệt hại nếu rủi ro xảy ra và chỉ được chấp nhận khi khẳng định được rằng lợi ích thu được khi rủi ro không xảy ra phải lớn hơn chi phí cho tổn thất khi xảy ra rủi ro.
Nguyên tắc 2: Các quyết định quản trị rủi ro phải được ra ở cấp quản trị thích hợp.
Quản trị rủi ro là công việc của tất cả các nhà quản trị ở tất cả các cấp quản trị. Tuy nhiên, ở mỗi cấp quản trị, các quyết định liên quan đến quản trị rủi ro là khác nhau. Nói khác đi, các quyết định liên quan đến quản trị rủi ro ở mỗi cấp quản trị cần được ra phù hợp với cấp, mức độ quản trị.
Trên thực tế, các quyết định liên quan đến việc xác định, phân tích, đánh giá rủi ro thường được ra bởi cấp chiến lược, còn các quyết định liên quan đến kiểm soát rủi ro được giao cho các nhà quản trị cấp chiến thuật và tác nghiệp.
Nguyên tắc 3: Hoạt động quản trị rủi ro trong hệ thống thông tin cần được thực hiện kết hợp với các hoạt động hoạch định cũng như vận hành ở tất cả các cấp trong hệ thống thông tin, cũng như trong tổ chức bởi quản trị rủi ro không phải và không thể là một hoạt động độc lập.
1.3.3. Mối quan hệ giữa quản trị rủi ro cho thông tin và an toàn và bảo mật thông tin
Rủi ro cho thông tin trong hệ thống thông tin của tổ chức, doanh nghiệp có thể được hiểu là những tình huống, những sự kiện, những nguy cơ hay những mối đe dọa trực tiếp hoặc gián tiếp xảy ra gây mất an toàn và bảo mật thông tin. Rủi ro cho thông tin trong hệ thống thông tin của tổ chức, doanh nghiệp được đánh giá dựa trên khả năng xảy ra, sự tác động, ảnh hưởng của nó khi xảy ra đối với hoạt động của hệ thống thông tin nói riêng và của tổ chức, doanh nghiệp nói chung. Hiểu được những nguy cơ xấu, những rủi ro có thể xảy ra cho thông tin trong hệ thống thông tin giúp tổ chức, doanh nghiệp có thể tránh được những thiệt hại không đáng có, có thêm thời gian lên kế hoạch ngăn chặn trước khi rủi ro xảy ra.
Rủi ro là một yếu tố luôn luôn thay đổi và biến hóa linh hoạt, chúng rất khó dự đoán trước và khó nhận ra, khó tìm thấy để ngăn chặn hoặc phòng ngừa. Vì vậy, các giả định, các dự đoán về rủi ro càng phải được cập nhật và thay đổi thường xuyên để có thể bao quát hết được những rủi ro có thể xảy đến trong những thời điểm khác nhau.
Quản trị rủi ro cho thông tin trong hệ thống thông tin là quá trình nhận dạng, phân tích, đo lường, đánh giá rủi ro, để từ đó tìm các biện pháp kiểm soát, khắc phục các hậu quả của rủi ro đối với hoạt động kinh doanh nhằm sử dụng tối ưu các nguồn lực.
Đảm bảo an toàn và bảo mật thông tin bao gồm các hoạt động quản lý, nghiệp vụ và kỹ thuật đối với hệ thống thông tin nhằm bảo vệ, khôi phục các hệ thống, các dịch vụ và nội dung thông tin đối với nguy cơ tự nhiên hoặc do con người gây ra. An toàn thông tin bao hàm các nội dung bảo vệ và bảo mật thông tin, an toàn dữ liệu, an toàn máy tính và an toàn mạng cho tổ chức, doanh nghiệp.
Như vậy, có thể thấy đảm bảo an toàn và bảo mật thông tin là một hoạt động cụ thể trong quy trình quản trị rủi ro của hệ thống thông tin doanh nghiệp. Nó đảm bảo cho thông tin trong hệ thống thông tin có tính bí mật, sẵn sàng và toàn vẹn khi hệ thống thông tin của doanh nghiệp hoạt động.
1.4. CHÍNH SÁCH, PHÁP LUẬT VỀ AN TOÀN VÀ BẢO MẬT THÔNG TIN
1.4.1. Các chính sách an toàn và bảo mật thông tin ở Việt Nam
Hiện nay ở Việt Nam có các luật, nghị định và thông tư liên quan đến an toàn và bảo mật thông tin sau (Bảng 1.1).
Bảng 1.1. Danh mục luật liên quan đến an toàn, bảo mật thông tin
ở Việt Nam
Cơ quan ban hành | Hình thức văn bản | Lĩnh vực | Trích yếu nội dung | Ngày ban hành | |
86/2015/QH13 | Quốc hội | Luật | Viễn thông, CNTT, điện tử | Luật An toàn thông tin mạng | 19/11/2015 |
29-2018/QH14 | Quốc hội | Luật | An toàn thông tin | Luật Bảo vệ bí mật Nhà nước | 15/11/2018 |
24/2018/QH14 | Quốc hội | Luật | Viễn thông, CNTT, Điện tử | Luật An ninh mạng | 12/06/2018 |
Có thể bạn quan tâm!
- Giới Thiệu Chung Về An Toàn Và Bảo Mật Thông Tin
- Các Lĩnh Vực Quan Trọng Cần Ưu Tiên Đảm Bảo An Toàn Thông Tin Mạng Và Hệ Thống Thông Tin Quan Trọng Quốc Gia Của Việt Nam
- Mô Hình An Toàn Và Bảo Mật Thông Tin Trên Kênh Truyền Thông Tin
- Các Chính Sách An Toàn Và Bảo Mật Thông Tin Trên Thế Giới
- An toàn và bảo mật thông tin: Phần 1 - PGS.TS. Đàm Gia Mạnh, TS. Nguyễn Thị Hội Chủ biên - 8
- Xác Định, Nhận Dạng Các Nguy Cơ Gây Mất An Toàn Và Bảo Mật Thông Tin
Xem toàn bộ 142 trang tài liệu này.
Bảng 1.2. Các nghị định và thông tư liên quan đến an toàn, bảo mật thông tin ở Việt Nam
Cơ quan ban hành | Hình thức văn bản | Lĩnh vực | Trích yếu nội dung | Ngày ban hành | |
13/2018/TT- BTTTT | Bộ Thông tin và Truyền thông | Thông tư | An toàn thông tin | Quy định Danh mục sản phẩm an toàn thông tin mạng nhập khẩu theo giấy phép và trình tự, thủ tục, hồ sơ cấp Giấy phép nhập khẩu sản phẩm an toàn thông tin mạng | 15/10/2018 |
20/2017/TT- BTTTT | Bộ Thông tin và Truyền thông | Thông tư | Viễn thông, CNTT, điện tử, An toàn thông tin | Quy định về điều phối, ứng cứu sự cố an toàn thông tin mạng trên toàn quốc | 12/9/2017 |
85/2016/NĐ- CP | Chính phủ | Nghị định | CNTT, điện tử | Về bảo đảm an toàn hệ thống thông tin theo cấp độ | 01/07/2016 |
108/2016/NĐ- CP | Chính phủ | Nghị định | CNTT, điện tử | Quy định chi tiết điều kiện kinh doanh sản phẩm, dịch vụ an toàn thông tin mạng | 01/07/2016 |
05/2014/TT- BTTTT | Bộ Thông tin và Truyền thông | Thông tư | Lĩnh vực khác | Thông tư Quy định Danh mục sản phẩm, hàng hóa có khả năng gây mất an toàn thuộc trách nhiệm quản lý của Bộ Thông tin và Truyền thông | 19/03/2014 |
23/2011/TT- BTTTT | Bộ Thông tin và Truyền thông | Thông tư | Viễn thông, CNTT, điện tử, Lĩnh vực khác | Quy định về việc quản lý, vận hành, sử dụng và bảo đảm an toàn thông tin trên Mạng truyền số liệu chuyên dùng của các cơ quan Đảng, Nhà nước | 11/08/2011 |
20/2011/TT- BTTTT | Bộ Thông tin và Truyền thông | Thông tư | Viễn thông, CNTT, điện tử | Quy định danh mục sản phẩm, hàng hóa có khả năng gây mất an toàn thuộc trách nhiệm quản lý của Bộ Thông tin và Truyền thông | 01/07/2011 |
Cơ quan ban hành | Hình thức văn bản | Lĩnh vực | Trích yếu nội dung | Ngày ban hành | |
25/2010/TT- BTTTT | Bộ Thông tin và Truyền thông | Thông tư | CNTT, điện tử | Quy định việc thu thập, sử dụng, chia sẻ, đảm bảo an toàn và bảo vệ thông tin cá nhân trên trang thông tin điện tử hoặc cổng thông tin điện tử của cơ quan nhà nước | 15/11/2010 |
06/2008/TTLT- BTTTT-BCA | Liên bộ, Ngành | Thông tư | Viễn thông, Lĩnh vực khác | Về bảo đảm an toàn cơ sở hạ tầng và an ninh thông tin trong hoạt động bưu chính, viễn thông và công nghệ thông tin | 28/11/2008 |
Số hiệu
Bảng 1.3. Các quyết định, chỉ thị, công văn về an toàn, bảo mật thông tin ở Việt Nam
Cơ quan ban hành | Hình thức văn bản | Lĩnh vực | Trích yếu nội dung | Ngày ban hành | |
1616/QĐ- BTTTT | Bộ Thông tin và Truyền thông | Quyết định | Cơ cấu tổ chức | Quy định chức năng, nhiệm vụ, quyền hạn và cơ cấu tổ chức của Trung tâm Giám sát an toàn không gian mạng quốc gia trực thuộc Cục An toàn thông tin | 5/10/2018 |
469/QĐ- BTTTT | Bộ Thông tin và Truyền thông | Quyết định | Cơ cấu tổ chức | Quy định chức năng, nhiệm vụ, quyền hạn và cơ cấu tổ chức của Chi nhánh Trung tâm Ứng cứu khẩn cấp máy tính Việt Nam tại thành phố Đà Nẵng | 3/4/2018 |
468/QĐ- BTTTT | Bộ Thông tin và Truyền thông | Quyết định | Cơ cấu tổ chức | Quy định chức năng, nhiệm vụ, quyền hạn và cơ cấu tổ chức của Chi nhánh Trung tâm Ứng cứu khẩn cấp máy tính Việt Nam tại Thành phố Hồ Chí Minh | 3/4/2018 |
Cơ quan ban hành | Hình thức văn bản | Lĩnh vực | Trích yếu nội dung | Ngày ban hành | |
632/QĐ-TTg | Thủ tướng Chính phủ | Quyết định | CNTT, điện tử, An toàn thông tin | Ban hành danh mục lĩnh vực quan trọng cần ưu tiên bảo đảm an toàn thông tin mạng và hệ thống thông tin quan trọng quốc gia | 06/6/2017 |
3024/BTTTT- VNCERT | Bộ Thông tin và Truyền thông | Công văn điều hành | CNTT, điện tử | Hướng dẫn một số giải pháp tăng cường bảo đảm an toàn cho hệ thống thông tin | 01/09/2016 |
1411/QĐ- BTTTT | Bộ Thông tin và Truyền thông | Quyết định | CNTT, điện tử | Về việc ban hành Kế hoạch chuyển đổi chuẩn hàm băm an toàn của các tổ chức cung cấp dịch vụ chứng thực chữ ký số công cộng | 11/08/2016 |
898/QĐ-TTg | Thủ tướng Chính phủ | Quyết định | CNTT, điện tử | Phê duyệt phương hướng, mục tiêu, nhiệm vụ bảo đảm an toàn thông tin mạng giai đoạn 2016 - 2020 | 27/05/2016 |
1883/QĐ- BTTTT | Bộ Thông tin và Truyền thông | Quyết định | Cơ cấu tổ chức | Quy định chức năng, nhiệm vụ, quyền hạn và cơ cấu tổ chức của Trung tâm Tư vấn và hỗ trợ nghiệp vụ an toàn thông tin | 02/11/2015 |
893/QĐ-TTg | Thủ tướng Chính phủ | Quyết định | CNTT, điện tử | Phê duyệt Đề án Tuyên truyền, phổ biến, nâng cao nhận thức và trách nhiệm về an toàn thông tin đến năm 2020 | 19/06/2015 |
1281/QĐ- BTTTT | Bộ Thông tin và Truyền thông | Quyết định | CNTT, điện tử, Cơ cấu tổ chức | Quy định chức năng, nhiệm vụ, quyền hạn và cơ cấu tổ chức của Cục An toàn thông tin | 09/09/2014 |
99/QĐ-TTg | Thủ tướng Chính phủ | Quyết định | CNTT, điện tử | Phê duyệt Đề án "đào tạo và phát triển nguồn nhân lực an toàn, an ninh thông tin đến năm 2020" | 14/01/2014 |