03/10/2023

Tình huống:
Từ chiếc USB vô
chủ đến một công
việc mới
Chương 7- Vấn đề nhân sự trong
thực hiện an toàn thông tin

1 2

§ Mô tả công việc an toàn thông tin nên

được định vị ở đâu và như thế nào
trong tổ chức 1. Định vị và cung cấp nhân sự cho
§ Giải thích các vấn đề và mối quan tâm
liên quan đến việc cung cấp nhân sự vị trí an toàn thông tin
cho vị trí an toàn thông tin 2. Chính sách và thực tiễn công việc
Nội dung
§ Minh họa cách các chính sách và thực
tiễn công việc có thể hỗ trợ các nỗ lực 3. Các cân nhắc về an toàn đối với
Mục tiêu an toàn thông tin
§ Xác định các biện pháp an toàn đặc những người không phải nhân
biệt cần được thực hiện khi sử dụng
các nhân viên hợp đồng
viên của công ty
§ Giải thích sự cần thiết của việc phân 4. Các chiến lược kiểm soát nội bộ
chia trách nhiệm
§ Mô tả các yêu cầu đặc biệt cần thiết để
5. Quyền riêng tư và bảo mật của
đảm bảo quyền riêng tư của dữ liệu dữ liệu nhân sự
nhân sự

3 4

1
 03/10/2023

Khi thực hiện an toàn thông tin, cần:

1- Định vị và cung cấp nhân sự cho vị trí an toàn thông tin

Định vị vị trí an toàn thông tin

1.1. Định vị vị trí an toàn thông tin

Lập kế hoạch tuyển dụng cho các vị trí định vị hoặc điều
chỉnh kế hoạch tuyển dụng 1.2. Tổ chức nhân sự vị trí an toàn thông tin
1.3. Những lời khuyên cho người làm an toàn thông
Xác định mức độ yêu cầu an toàn thông tin với các vị trí
chức năng đã định vị. Điều chỉnh các mô tả công việc và tin chuyên nghiệp
yêu cầu thực hành

Làm việc với chuyên gia an toàn thông tin để tích hợp
các khái niệm an toàn thông tin vào các thực hành quản
lý nhân viên trong doanh nghiệp

5 6

1.1. ĐỊNH VỊ VỊ TRÍ AN TOÀN THÔNG TIN

Department Leader

Information Technology
CIO/VP for IT I.2. TỔ CHỨC NHÂN SỰ VỊ
Department
TRÍ AN TOÀN THÔNG TIN
Information security
department CISO/CSO “Employment of information security analysts is
projected to grow 18 percent from 2014 to 2024,
much faster than the average for all occupations.
• Cơ cấu tổ chức trên thường dùng với doanh nghiệp lớn. Demand for information security analysts is
expected to be very high, as these analysts will be
• Cấu trúc trên ngụ ý là mục tiêu cụ thể của IT department và IS needed to create innovative solutions to prevent
department là riêng biệt nhưng phù hợp trên tổng thể hackers from stealing critical information or
causing problems for computer networks”.
• Cơ cấu này có thể thay đổi theo qui mô doanh nghiệp và theo quan U.S. Bureau of Labor Statistics (BLS)
điểm, khuynh hướng quản lý

7 8

2

1.2. TỔ CHỨC NHÂN SỰ VỊ
TRÍ AN TOÀN THÔNG TIN
9 10
1.2. TỔ CHỨC NHÂN SỰ VỊ TRÍ AN TOÀN
THÔNG TIN
11
Các hiểu biết mà ứng viên
các vị trí an toàn thông tin
thường cần
• Cách hoạt động của tổ
chức ở mọi cấp độ
• Vấn đề an toàn thông
tin thường là vấn đề
quản lý, hơn là chỉ là
vấn đề kỹ thuật
• Cách làm việc,hợp tác
giữa người LĐ, đặc
biệt là với người dùng
cuối (end-users); sự
quan trọng là các kỹ
năng truyền thông và
viết
12
1.2. TỔ CHỨC NHÂN SỰ VỊ TRÍ
AN TOÀN THÔNG TIN
1.2. TỔ CHỨC NHÂN SỰ VỊ TRÍ AN TOÀN
THÔNG TIN
03/10/2023
v Lưu ý: Đa phần, các
đơn vị thường tìm
kiếm các nhân sự có
kiến thức chung có
bằng cấp về kỹ thuật
an toàn thông tin cho
vị trí an toàn thông tin
nhưng có hiểu biết
vững chắc về hoạt
động của đơn vị. Vị trí
an toàn thông tin cần
những người cân bằng
giữa kỹ năng kỹ thuật
và các hiểu biết về an
toàn thông tin
Các hiểu biết mà ứng
viên các vị trí an toàn
thông tin thường cần
• Vai trò của chính
sách trong hướng
dẫn nỗ lực trong an
ninh; vai trò của đào
tạo và huấn luyện để
đưa nhân viên và
người dung cuối trở
thành 1 phần của
giải pháp, hơn là 1
phần của vấn đề
3

1.2. TỔ CHỨC NHÂN SỰ VỊ TRÍ AN TOÀN Các hiểu biết mà ứng
THÔNG TIN viên các vị trí an toàn
thông tin thường cần
• Hầu hết các CNTT
thông thường,
truyền thống thì ở
cấp độ chung, không
nhất thiết là chuyên
gia
• Thuật ngữ IT và an
toàn thông tin
• Các mối đe dọa và
cách chúng trở
thành cuộc tấn công
đối với tổ chức
13 14
I.2. TỔ CHỨC NHÂN SỰ VỊ Các vị trí an toàn thông tin
TRÍ AN TOÀN THÔNG TIN được chia thành phạm vi
thuộc lĩnh vực an toàn
thông tin
• Định nghĩa chương trình
an toàn thông tin:
(define)
• Được thực hiện bởi
các nhà quản lý
(managers) an ninh
cấp cao
• Mục tiêu Cung cấp
chính sách, hoạt
động lập kế hoạch;
Quản lý đánh giá rủi
ro
15 16
1.2. TỔ CHỨC NHÂN SỰ VỊ TRÍ AN TOÀN
THÔNG TIN
I.2. TỔ CHỨC NHÂN SỰ VỊ
TRÍ AN TOÀN THÔNG TIN
03/10/2023
Các hiểu biết mà ứng
viên các vị trí an toàn
thông tin thường cần
• Cách bảo vệ tài sản
của tổ chức trước
các cuộc tấn công an
toàn thông tin
• Các giải pháp kinh
doanh, bao gồm giải
pháp dựa trên công
nghệ được áp dụng
để giải quyết các vấn
đề an toàn thông tin
cụ thể
Các vị trí an toàn thông
tin được chia thành phạm
vi thuộc lĩnh vực an toàn
thông tin
• Xây dựng chương trình
an toàn thông tin:
(build)
• Là do các chuyên gia
công nghệ (techies)
thực hiện
• tạo các giải pháp kỹ
thuật an ninh để
bảo vệ phần mềm,
hệ thống và mạng
4
 03/10/2023

I.2. TỔ CHỨC NHÂN SỰ VỊ Các vị trí an toàn thông tin

được chia thành phạm vi thuộc
1.2. TỔ CHỨC NHÂN SỰ VỊ
TRÍ AN TOÀN THÔNG TIN lĩnh vực an toàn thông tin
• Quản trị hệ thống kiểm soát
TRÍ AN TOÀN THÔNG TIN
và chương trình an toàn
thông tin: (Administer)
• Là những người quản lý Ví dụ sơ đồ các vị trí
(administrators)
hiện, áp dụng các công
thực trong Bộ phận an
cụ của các chuyên gia toàn thông tin (IT
công nghệ để phù hợp department)
với các quyết định và
hướng dẫn của những
người quản lý cấp cao ở
vị trí định nghĩa chươg
trình an toàn thông tin
• Cung cấp các giám sát
hệ thống hàng ngày

17 18

1.2. TỔ CHỨC NHÂN SỰ VỊ CISO (Chief Information Security

Officer - Giám đốc an toàn
TRÍ AN TOÀN THÔNG TIN thông tin) • Là lãnh đạo của bộ
phận an toàn thông
• CISO tin (the information
security
• CSO department).
• Security Manager • Tập trung vào an
• Security Analyst ninh dữ liệu
• Báo cáo cho CIO/VP
for IT

19 20

5

CISO (Chief Information Security
Officer - Giám đốc an toàn
thông tin)
21
CISO (Chief Information Security
Officer - Giám đốc an toàn
thông tin)
23
Chức năng
• Xác định vấn đề luân
chuyển/tắc nghẽn thông
tin thông qua Kiểm tra DL
khi chuyển giao và lưu trữ
• Kiểm tra hệ thống để
khám phá những lỗi
(faults) an toàn thông tin;
khiếm khuyết (flaws) của
công nghệ, phần mềm,
hoạt động của nhân viên
và qui trình
22
Chức năng
• Phát triển ngân sách an
toàn thông tin trên cơ
sở quỹ hiện hành
• Thiết lập các ưu tiên
cho mua và triển khai
các dự án an toàn
thông tin và công nghệ
• Ra quyết định hoặc đề
xuất cho việc tuyển
dụng, thuê và sa thải
nhân viên an ninh
• Là người đại diện
truyền thông của đội an
toàn thông tin
24
CISO (Chief Information Security
Officer - Giám đốc an toàn
thông tin)
CSO (Chief Security Officer -
Giám đốc an ninh)
03/10/2023
Chức năng :
• Quản lý toàn bộ chương
trình an toàn thông tin
• Phác thảo và chấp thuận
các chính sách an toàn
thông tin
• Làm việc với CIO về: kế
hoạch chiến lược; Phát
triển kế hoạch chiến thuật
; làm việc với các nhà
quản lý an ninh về kế
hoạch hoạt động
• Là người chịu trách
nhiệm tập trung cho an
ninh về mặt vật lý
(physical information
security).
• Có thể là CISO và kết
hợp thêm trách nhiệm
an toàn thông tin về
mặt vật lý
• Báo cáo cho CIO, VP-IT;
VP - Administration
6

Security Manager (Quản lý an •
•
Báo cáo cho CISO, CSO
Có trách nhiệm cho hoạt
ninh) động hàng ngày của
chương trình an toàn
thông tin
• Nhiệm vụ:
• Hoàn thành các nhiệm
vụ do CISO xác định và
giải quyết các vấn đề
do các kỹ thuật viên
xác định
• Lập lịch trình, thiết lập
mức độ ưu tiên và
thực hiện quản lý các
kiểm soát ngân sách
25
Security Manager (Quản lý an Năng lực:
ninh) • Có khả năng quản lý
các nhân viên kỹ
thuật, bao gồm phân
chia nhiệm vụ và
giám sát thực hiện
nhiệm vụ của họ
• Có thể cần thêm kinh
nghiệm trong lập kế
hoạch kinh doanh
liên tục (Business
continuity planning)
27
03/10/2023
Security Manager (Quản lý an
ninh) Năng lực:
• Có năng lực phác
thảo các chính sách,
chuẩn và hướng dẫn
ở cấp thấp và cấp
trung
• Có kinh nghiệm
trong các vấn đề kinh
doanh như lập ngân
sách, quản lý dự án,
quản lý nhân sự
26
Security Analyst (phân tích
• Báo cáo cho Information
viên an ninh) Security Manager
• Có thể Là kỹ thuật viên an
ninh (security
technicians) / kiến trúc sư
an ninh/ kỹ sư an ninh có
kiến thức tốt. Họ thường
được xem như vị trí “cấp
bậc thấp” (an entry-level
position)
28
7

Security Analyst (phân tích
viên an ninh)
29
1.3. Những lời khuyên cho người
an toàn thông tin chuyên nghiệp
31
Nhiệm vụ:
• Thiết lập cấu hình các hệ
thống kỹ thuật để kiểm
soát truy cập và tấn công
tới hệ thống, triển khai
phần mềm an ninh, chẩn
đoán và gỡ rối vấn đề.
• Hợp tác với người quản
trị mạng và hệ thống để
đảm bảo công nghệ an
ninh của doanh nghiệp
được triển khai đúng
30
• Nghề an toàn thông tin là
bảo vệ thông tin và nguồn
lực hệ thống thông tin của tổ
chức
• Bảo mật thông tin cần minh
bạch với người sử dụng. Các
hành động bảo vệ thông tin
không được can thiệp vào
hành động của người sử
dụng (trừ 1 số trường hợp
nhỏ)
32
1.3. Những lời khuyên cho người
an toàn thông tin chuyên nghiệp
1.3. Những lời khuyên cho người
an toàn thông tin chuyên nghiệp
03/10/2023
• Luôn nhớ kinh doanh trước
công nghệ. Giải pháp công
nghệ chỉ là công cụ để giải
quyết vấn đề kinh doanh.
• Công nghệ có thể cung cấp
giải pháp tốt cho một số vấn
đề nhưng cũng có thể làm
trầm trọng thêm vấn đề
khác. Khi đánh giá vấn đề,
xem nguồn gốc vấn đề trước,
xác định các nhân tố ảnh
hưởng tới vấn đề và chính
sách của tổ chức có thể dẫn
tới thiết kế giải pháp độc lập
với công nghệ
• Biết nhiều, nói ít. Đừng cố
gắng dùng những kiến thức,
kinh nghiệm chuyên môn
của mình để gây ấn tượng
với những người không
chuyên về kỹ thuật
• Hãy sử dụng ngôn ngữ của
người sử dụng khi trao đổi
vấn đề
• Luôn học hỏi và tự đào tạo
kiến thức mới
8
 03/10/2023

2. Chính sách và thực tiễn

công tác
2.1. Mục tiêu
2.2. Qui trình và các
hoạt động cần thực
hiện để tuyển dụng và
quản lý nhân sự an 2.1. Mục tiêu
toàn thông tin
Tích hợp qui trình an toàn thông tin
vào tuyển dụng nhân sự và quản lý
nhân viên

33 34

Quy trình
Mô tả công Kiểm tra lý
Phỏng vấn
việc lịch

Mô tả công việc

Quy trình
• Xem xét, cập nhật, công bố mô
Hợp đồng Định hướng Huấn luyện an tả công việc, nhưng không tiết
tuyển dụng nhân viên mới ninh tại chỗ lộ các đặc quyền truy cập khi
quảng cáo tuyển dụng

Đánh giá Ngưng hợp

thành quả đồng

35 36

9
 03/10/2023

Quy trình Quy trình Kiểm tra lý

(background check). Nên
lịch

được thực hiện trước khi

mở rộng đề nghị công việc
Phỏng vấn với ứng viên. Ngoài việc
• Quản lý an toàn thông tin cần lưu ý kiểm tra thông thường
phòng nhân sự những thông tin (nhân thân, chứng chỉ/bằng
không nên công bố (vd những đặc
quyền truy cập thông tin v.v..) cấp, thu nhập v.v..), bước
trong quá trình phỏng vấn ứng viên này cần tập trung tìm hiểu
những hành vi phạm tội
trong quá khứ hoặc những
hành vi là tiềm năng cho
việc vi phạm sau này của
ứng viên

37 38

Kiểm tra lý lịch

Quy trình • Kiểm tra danh tính

• Kiểm tra trình độ học vấn và
Quy trình Ký hợp đồng tuyển dụng
• Gồm các chính sách của tổ
chứng chỉ
• Xác minh kinh nghiệm làm
chức về việc tuân thủ và
việc sử dụng thông tin, các
• Xác minh người giới thiệu,
thỏa thuận về giám sát và
tham chiếu không tiết lộ thông tin;
• Đánh giá tham gia mạng xã những giới hạn nghiêm
hội ngặt về tạo và sở hữu tài
• Lịch sử bồi thường của sản thông tin
người lao động
• Nhân viên ký hợp đồng
• Hồ sơ xe cơ giới này như một cách “tuyên
• Tiền sử sử dụng ma túy thệ” bằng văn bản đồng ý
• Lịch sử tín dụng tuân thủ các chính sách
• Lịch sử tòa án dân sự ràng buộc của tổ chức
• Lịch sử tòa án hình sự

39 40

10

Quy trình Định hướng nhân viên
mới: Giới thiệu thông tin
cần thiết cho nhân sự
mới (New Hire
Orientation): Ngoài
những nội dung thông
thường (vd văn hóa DN,
qui trình, luân chuyển
công việc v.v..), cần nhấn
mạnh nhận thức an toàn
thông tin, tóm lược và
những vấn đề an toàn
thông tin: chính sách, qui
trình thủ tục cần thiết,
các yêu cầu an toàn
thông tin với nhân sự
mới
41
Quy trình
Đánh giá thành quả:
Đánh giá thành quả
nhân viên phải bao
gồm phản ánh việc
nhận thức an toàn
thông tin và giảm thiểu
hành vi gây rủi ro tại
nơi làm việc vào
43
03/10/2023
Quy trình
Huấn luyện an ninh
tại chỗ
• Cần tích hợp giáo dục
nhận thức an toàn
thông tin trong định
hướng nghề nghiệp
• Duy trì thường xuyên
và gắn nhận thức an
toàn thông tin vào
công việc hàng ngày
42
Quy trình
Ngưng hợp đồng: Ngưng
hợp đồng có nhiều
nguyên nhân, tuy nhiên
luôn cần lưu ý đến an
toàn và bảo mật. Cần
đảm bảo tính liên tục
trong việc đảm bảo an
toàn cho những thông
tin mà nhân viên thôi
việc đã từng có quyền
truy cập
44
11

Quy trình
45
3. CÂN NHẮC AN TOÀN THÔNG TIN VỚI NHỮNG
NGƯỜI KHÔNG PHẢI NHÂN VIÊN CÔNG TY
Các nhóm người không phải
nhân viên chính thức công ty
nhưng do đặc thù quan hệ công
việc họ vẫn có quyền truy cập
những thông tin quan trọng của
đơn vị, gồm: Nhân viên tạm thời,
nhân viên hợp đồng, tư vấn, v.v..
47
03/10/2023
• Gỡ bỏ quyền truy cập tới hệ
thống của công ty
• Các phương tiện/thiết bị lưu Quy trình
trữ ngoài HT cần được thu
hồi
• Ổ đĩa cứng cần được bảo
mật Chia tay căng thẳng và
• Thay khóa tủ chia tay êm đẹp: Bạn sẽ
• Thay khóa cửa văn phòng
• Khóa các Thẻ từ truy cập làm gì nếu bị đuổi việc
• Gỡ bỏ khỏi nơi làm các ảnh hoặc thôi việc vì có cơ hội
hưởng tác động của người
nghỉ việc (vd, lưu trữ hoặc tốt hơn?
tiêu hủy tập tin liên quan)
• Có thể có buổi phỏng
vấn/nói chuyện nhắc nhở về
các điều khoản/nghĩa vụ sau
khi rời công ty
46
NHÓM NHÂN
VIÊN TẠM THỜI
• Chỉ giới hạn những điều cần thiết
để họ thực hiện nhiệm vụ
• Đảm bảo các nhân viên này tuân
thủ các thực hành an toàn thông
Những nhân viên này vẫn cần tin
được quản lý cẩn thận để để • Có thể yêu cầu ký các thỏa thuận
tránh rò rỉ, đánh cắp thông tin không tiết lộ và chính sách sử
dụng hợp pháp
48
12

• Thường là nhân viên
NHÓM NHÂN VIÊN HỢP ĐỒNG thực hiện: bảo vệ; bảo
dưỡng, sửa chữa thiết
bị; cung cấp các dịch vụ
• Ký kết và đưa các điều
khoản yêu cầu công
việc và giới hạn trách
nhiệm rõ ràng
• Có kế hoạch thực hiện
công việc các dịch vu
theo hợp đồng
• Giám sát trực tiếp quá
trình làm và di chuyển
của nhóm nhân viên
này
49
• Thường là các tổ chức có hợp
ĐỐI TÁC KINH DOANH
tác kinh doanh: trao đổi thông
tin, hệ thống tích hợp, thảo
luận các hoạt động để cùng có
lợi hay đạt lợi thế
• Hợp đồng/ thỏa thuận cần xác
định:
• Những vấn đề bộc lộ ra và
điểm yếu bảo mật (phơi
nhiễm- exposure) mà cả 2
bên cùng phải gánh chịu
• Các thông tin gì cần được
trao đổi, ở cấp độ nào, với
ai
• Những thông tin không
được tiết lộ
• Trường hợp tích hợp hệ thống
thì mức độ an ninh của các hệ
thống cần rà soát và đảm bảo
an toàn trước khi tích hợp
51
03/10/2023
• Thường là người được
NHÓM TƯ VẤN thuê theo từng lần của
dịch vụ yêu cầu
• Hợp đồng cần xác định rõ
thông tin và tất cả thiết
bị được phép truy cập
cũng như những vấn đề
không được tiết lộ về
đơn vị
• Cần sàng lọc và giám sát
một cách đặc biệt các di
chuyển của những nhân
viên tư vấn công nghệ và
tư vấn thông tin
50
• Phân chia trách nhiệm là nền tảng quan trọng cho
bảo vệ tài sản thông tin và ngăn ngừa thất thoát
4. Chiến tài chính
• Phân chia trách nhiệm liên quan thực hiện
lược kiểm hoạt động kinh tế
• Phân chia trách nhiệm tiếp cận và sử dụng dữ
soát nội bộ liệu:
• Kiểm soát kép (two- person control hay Double
check): hai người làm việc tuần tự theo trình tự và
hai người cùng xem xét, chấp thuận công việc của
nhau.
• Luân chuyển công việc (job/task rotation)
• Các nhân viên đều có thể có những trải
nghiệm và đảm nhiệm được nhiều công việc
khác nhau -> dễ thay thế nhau trong tình
huống cần thiết
• Có thể phát hiện việc sử dụng sai hoặc lạm
dụng thông tin của người ở vị trí bị thay thế..
52
13
 03/10/2023

4. Chiến • Thực hiện kỳ nghỉ bắt buộc với nhân viên: một
hình thức có người thay thế tạm công việc
lược kiểm nhằm phát hiện những bất thường. Nó cũng
đồng thời là KS ngăn ngừa nếu nhân viên biết
soát nội bộ chính sách này
• Giới hạn mức độ và phạm vi truy cập thông
tin cần thiết cho công việc (còn gọi “need to
know” hoặc “least privilege”)
• Chỉ được phép truy cập và sử dụng thông
tin trên cơ sở những gì cần nhằm đảm bảo
không lo ngại về tính bảo mật, toàn vẹn và
tính khả dụng
4. Chiến • Đối với những vị trí người lao động có thông
tin đặc biệt hay rất quan trọng có tính độc
lược kiểm quyền,
• Có thể áp dụng chính sách “garden leave-
soát nội bộ về vườn”: Công ty trả thêm lương 1 thời
gian nào đó sau khi nghỉ làm (vd 30 ngày)
và yêu cầu trong thời gian này nhân viên
không đi làm ở công ty mới. Mục đích để
nhân viên không có thông tin cập nhật
mới.
• Hoặc yêu cầu không được làm cho đối thủ
cạnh tranh trong khoảng thời gian bao
nhiêu lâu sau khi nghỉ việc tại công ty

53 54

Quyền riêng tư và bảo mật • Thông tin cá nhân:

địa chỉ, điện thoại,
dữ liệu nhân sự mã số thuế, số an
sinh xã hội, thông
tin y tế, thông tin gia
đình
• Các thông tin cá
nhân cần được bảo
mật giống những
thông tin quan trọng
khác của doanh
nghiệp.

56

55 56

14