ĐẠI HỌC UEH

TRƯỜNG KINH DOANH

KHOA KẾ TOÁN – KIỂM TOÁN

BÀI TẬP NHÓM MODULE 3:

QUẢN LÝ AN TOÀN THÔNG TIN

Môn học : An toàn thông tin kế toán

Giảng viên : Ths. Nguyễn Quốc Trung
Khoá : 47
Mã lớp học phần : 24D1ACC50707901
Hệ : ĐHCQ
Nhóm : 6

TP. Hồ Chí Minh, ngày 01 tháng 02 năm 2024.

 DANH SÁCH THÀNH VIÊN NHÓM 6

STT Họ và tên Công việc đảm nhận Đóng góp (%)

21 Trương Tấn Lộc Review question 15 - 21 100%

19 Trần Gia Linh Review question 8 - 14 100%

32 Nguyễn Thị Cẩm Nhung Exercise 2 100%

20 Nguyễn Mai Phúc Lộc Review question 1 - 7 100%

22 Hoàng Hồng Mai Exercise 3 100%

 MỤC LỤC

PHẦN 1: REVIEW QUESTION.............................................................................................1

1.1. How do the InfoSec management team's goals and objectives differ from those of the
IT and general management communities?.............................................................................1
1.2. What is included in the InfoSec planning model?............................................................1
1.3. List and briefly describe the general categories of information security policy..............1
1.4. Briefly describe strategic planning...................................................................................1
1.5. List and briefly describe the levels of planning...............................................................2
1.6. What is governance in the context of information security management?......................2
1.7. What are the differences between a policy, a standard, and a practice? Where would
each be used?...........................................................................................................................2
1.8. What is an EISP, and what purpose does it serve?...........................................................2
1.9. Who is ultimately responsible for managing a technology? Who is responsible for
enforcing policy that affects the use of a technology?............................................................3
1.10. What is needed for an information security policy to remain viable?............................3
1.11. How can a security framework assist in the design and implementation of a security
infrastructure?..........................................................................................................................3
1.12. Where can a security administrator find information on established security
frameworks?............................................................................................................................4
1.13. What is the ISO 27000 series of standards? Which individual standards make up the
series?......................................................................................................................................4
1.14. What documents are available from the NIST Computer Security Resource Center
(CSRC), and how can they support the development of a security framework?....................5
1.15. What Web resources can aid an organization in developing best practices as part of a
security framework?................................................................................................................5
1.16. Briefly describe management, operational, and technical controls, and explain when
each would be applied as part of a security framework..........................................................5
1.17. What is defense in depth?...............................................................................................6
1.18. Define and briefly explain the SETA program and what it is used for..........................6
1.19. What is the purpose of the SETA program?..................................................................6
1.20. What is security training?...............................................................................................7
1.21. What is a security awareness program?.........................................................................7
PHẦN 2: EXERCISE...............................................................................................................8
2.1. Exercise 2:........................................................................................................................8
2.2. Exercise 3:......................................................................................................................10
 PHẦN 1: REVIEW QUESTION

1.1. How do the InfoSec management team's goals and objectives differ from
those of the IT and general management communities?

Mục tiêu của nhóm quản lý An toàn thông tin (InfoSec) chủ yếu tập trung vào
bảo vệ tài sản thông tin của tổ chức. Điều này bao gồm đảm bảo tính bảo mật, toàn vẹn
và sẵn có của dữ liệu. Ngược lại, quản lý Công nghệ thông tin (IT) quan tâm đến việc
sử dụng công nghệ một cách hiệu quả để đạt được các mục tiêu kinh doanh, trong khi
quản lý tổng thể tập trung vào chiến lược kinh doanh tổng thể, hoạt động và lợi nhuận.

1.2. What is included in the InfoSec planning model?

Mô hình lập kế hoạch An toàn thông tin (InfoSec) bao gồm:

- Xác định tài sản và giá trị của chúng

- Đánh giá rủi ro

- Phát triển chính sách và thủ tục

- Triển khai các biện pháp bảo mật

- Theo dõi và đánh giá định kỳ

1.3. List and briefly describe the general categories of information security policy.

Các loại chính sách chung:

Chính sách bảo mật thông tin doanh nghiệp (EISP). Điều này được phát triển
trong kế hoạch chiến lược CNTT; nó xác định hành vi thái độ của bộ phận bảo mật
thông tin và văn hóa bảo mật thông tin trong tổ chức. CISO tạo ra bản dự thảo chính
sách chương trình, sau đó sẽ được CEO hoặc CIO hỗ trợ.

Chính sách bảo mật dành riêng cho vấn đề (ISSPS). Đây là những quy tắc xác
định hành vi nào được chấp nhận đối với các nguồn lực cụ thể của tổ chức, như email,
điện thoại, máy fax hoặc sử dụng internet.

Chính sách dành riêng cho hệ thống (SysSP); đây là sự kết hợp giữa các mục
tiêu hoặc ý định về kỹ thuật và quản lý; chúng bao gồm 'hướng dẫn quản lý về quản lý
công nghệ và các thông số kỹ thuật để thiết lập và cấu hình công nghệ.

1.4. Briefly describe strategic planning.

1
 Kế hoạch chiến lược trong An toàn thông tin (InfoSec) bao gồm các mục tiêu
và chiến lược dài hạn để bảo vệ tài sản thông tin của một tổ chức. Nó bao gồm việc
xác định các mối đe dọa tiềm ẩn, đánh giá các rủi ro và phát triển một chương trình
bảo mật toàn diện.

1.5. List and briefly describe the levels of planning.

Các cấp độ của kế hoạch bao gồm:

- Kế hoạch chiến lược: Mục tiêu và chiến lược dài hạn

- Kế hoạch chiến thuật: Các hành động ngắn hạn để đạt được mục tiêu chiến lược

- Kế hoạch vận hành: Các hoạt động hàng ngày để triển khai kế hoạch chiến thuật.

1.6. What is governance in the context of information security management?

Quản trị trong quản lý An toàn thông tin (InfoSec) đề cập đến khuôn khổ các
quy định, trách nhiệm và quy trình điều chỉnh và kiểm soát các hoạt động an toàn
thông tin của tổ chức.

1.7. What are the differences between a policy, a standard, and a practice? Where
would each be used?

Một chính sách là một kế hoạch cấp cao mô tả mục tiêu an ninh của tổ chức.
Một tiêu chuẩn là một yêu cầu cụ thể cho cách một điều gì đó nên được thực hiện. Một
thực hành là một hướng dẫn chi tiết từng bước về cách thực hiện một nhiệm vụ. Chính
sách được sử dụng ở cấp tổ chức, tiêu chuẩn được sử dụng để hướng dẫn các hành
động cụ thể, và thực hành được sử dụng cho các nhiệm vụ vận hành.

1.8. What is an EISP, and what purpose does it serve?

EISP (Enterprise Information Security Policy) là chính sách an toàn thông tin
doanh nghiệp. EISP bao gồm 4 thành phần:

- Tổng quan triết lý của tổ chức về an toàn.

- Thông tin về cơ cấu tổ chức và những người thực hiện vai trò an toàn thông tin.

- Các trách nhiệm rõ ràng, đầy đủ về an toàn và được chia sẻ bởi tất cả các thành viên
của tổ chức (nhân viên, nhà thầu, nhà tư vấn, đối tác và khách hàng).

2
- Các trách nhiệm rõ ràng, đầy đủ về an toàn cần dành riêng cho từng vai trò trong tổ
chức.

EISP xác định xác định mục đích, phạm vi, các ràng buộc và khả năng áp dụng
của chương trình an ninh. EISP phân công trách nhiệm đối với các lĩnh vực an toàn
khác nhau, bao gồm quản trị hệ thống, duy trì chính sách an toàn thông tin, thực hành
và trách nhiệm của người dùng. EISP cũng giải quyết vấn đề tuân thủ.

1.9. Who is ultimately responsible for managing a technology? Who is responsible

for enforcing policy that affects the use of a technology?

Theo SP 800-14, “Generally Accepted Principles and Practices for Securing

Information Technology Systems”, mỗi cá nhân trong tổ chức đều phải có trách nhiệm
trong việc quản lý công nghệ thông tin của tổ chức. Tuy nhiên, tùy theo từng đặc trưng
của vị trí (quản lý cấp cao, nhà quản trị hệ thống, nhân viên vận hành,…), đặc trưng
chính sách quản lý được thiết kế của riêng biệt mỗi công ty mà trách nhiệm quản lý sẽ
khác nhau, mức độ quản lý cũng khác nhau.

Nhà quản lý cấp trung (Mid-Level Manager) sẽ có trách nhiệm đôn đốc nhân
viên thực thi tuân thủ các chính sách an toàn thông tin đã được đề ra, có trách nhiệm
đảm bảo nhân viên tuân thủ chính sách.

1.10. What is needed for an information security policy to remain viable?

Chính sách an toàn thông tin khi ban hành cần đảm bảo tính khả thi vì nếu
không thì công ty sẽ tốn thời gian, nguồn lực để xây dựng và ban hành chính sách
nhưng chính sách đó lại không phù hợp, không còn phù hợp hoặc gây tranh cãi,… và
dẫn đến chính sách không thể triển khai được.

Do đó, để đảm bảo tính khả thi của chính sách an toàn, cần phải:

- Xem xét, đánh giá lại quy trình và thủ tục.

- Ngày ban hành và ngày sửa đổi chính sách.

- Quản lý chính sách tự động.

1.11. How can a security framework assist in the design and implementation of a
security infrastructure?

3
 Các khuôn mẫu, nguyên tắc thực hành được chấp nhận về an toàn hệ thống
công nghệ thông tin (như SP 800 -14 ) hỗ trợ đơn vị phát triển bảng kế hoạch chi tiết
về an toàn thông tin, thông qua cung cấp các nguyên tắc thực hành về an toàn. Các mô
hình của các khuôn mẫu chuẩn mực này có thể giúp phác thảo các bước thiết kế và
thực hiện an toàn thông tin trong tổ chức. Nhóm an toàn lưu ý cần sửa đổi hoặc điều
chỉnh mô hình cho phù hợp với đặc thù của tổ chức trước khi áp dụng.

1.12. Where can a security administrator find information on established security

frameworks?

Để tìm kiếm thông tin về những khuôn mẫu an toàn đã được ban hành, nhà
quản trị hệ thống an toàn có thể truy cập
(www.iso27001security.com/html/iso27000.html) hoặc (http://csrc.nist.gov). Hoặc
cũng có thể tham khảo chương trình National Centers of Academic Excellence
(www.iad.gov/NIETP/index .cfm) . Chương trình này xác định các trường đại học
cung cấp các môn học về an toàn thông tin và quan điểm tích hợp về an toàn thông tin
trong tổ chức . Các tài nguyên địa phương khác cũng có thể cung cấp thông tin về giáo
dục an toàn, chẳng hạn như Trung tâm Giáo dục An ninh Thông tin của Bang
Kennesaw (http ://infosec .kennesaw .edu).

1.13. What is the ISO 27000 series of standards? Which individual standards
make up the series?

Một trong những mô hình bảo mật được tham khảo rộng rãi nhất là Information
Technology - Code of Practice for Information Security Management được xuất bản
dưới dạng Tiêu chuẩn Anh BS7799. Năm 2000, quy tắc thực hành này được thông qua
là ISO/IEC 17799, một khuôn khổ tiêu chuẩn quốc tế về bảo mật thông tin được thiết
lập bởi International Organization for Standardization (ISO) và International
Electrotechnical Commission (IEC). Chuẩn mực đã được sửa đổi và cập nhật thường
xuyên và ngày nay nó bao gồm toàn bộ danh mục các tiêu chuẩn liên quan đếnthiết kế,
triển khai và quản lý hệ thống quản lý bảo mật thông tin. Phiên bản đã phát hành năm
2000 đã được sửa đổi vào năm 2005 để trở thành ISO 17799:2005 và sau đó được đổi
tên thành ISO 27002 vào năm 2007 để phù hợp với ISO 27001.

4
1.14. What documents are available from the NIST Computer Security Resource
Center (CSRC), and how can they support the development of a security
framework?

Một số tài nguyên để thực hiện các chương trình SETA cung cấp hỗ trợ dưới
dạng các chủ đề và cấu trúc mẫu cho các lớp bảo mật. Đối với các tổ chức, Trung tâm
Tài nguyên An ninh Máy tính tại NIST cung cấp miễn phí một số tài liệu hữu ích trong
lĩnh vực này (http://csrc.nist.gov).

1.15. What Web resources can aid an organization in developing best practices as
part of a security framework?

A U.S. government Web site, fasp.nist.gov, offers security frameworks and best
practices.

The Internet Security Task Force site (www.ca.com/ISTF) offers a collection of

parties interested in Internet security.

The Computer Emergency Response Team site (www.cert.org) offers a series

of modules with links and practices of security methodologies.

The Technology Manager's Forum site (www.techforum.com)

The Information Security Forum site (www.isfsecuritystandard.com)

The Information Systems Audit and Control Association site (www.isaca.com)

The Professional Security Consultants site (www.iapsc.org)

The Global Grid Forum site (www.gridforum.org).

1.16. Briefly describe management, operational, and technical controls, and

explain when each would be applied as part of a security framework.

- Management controls:

Các biện pháp bảo vệ an ninh thông tin tập trung vào việc lập kế hoạch hành
chính, tổ chức, lãnh đạo và kiểm soát, được thiết kế bởi các nhà hoạch định chiến lược
và được thực hiện bởi cơ quan quản lý an ninh của tổ chức; chúng bao gồm quản trị và
quản lý rủi ro.

- Operational controls:

5
 Các biện pháp bảo vệ an ninh thông tin tập trung vào việc lập kế hoạch ở cấp độ
thấp hơn liên quan đến chức năng bảo mật của tổ chức; chúng bao gồm lập kế hoạch
khắc phục thảm họa, lập kế hoạch ứng phó sự cố và các chương trình SETA.

- Technical controls:

Các biện pháp bảo vệ an ninh thông tin tập trung vào việc áp dụng các công
nghệ, hệ thống và quy trình hiện đại để bảo vệ tài sản thông tin; chúng bao gồm tường
lửa, mạng riêng ảo và IDPS..

1.17. What is defense in depth?

Chiến lược bảo vệ tài sản thông tin sử dụng nhiều lớp và các loại biện pháp
kiểm soát khác nhau để mang lại sự bảo vệ tối ưu; thông thường, việc thực hiện nhiều
loại kiểm soát khác nhau.

1.18. Define and briefly explain the SETA program and what it is used for.

Một chương trình quản lý được thiết kế để cải thiện tính bảo mật của tài sản
thông tin bằng cách cung cấp kiến thức, kỹ năng và hướng dẫn có mục tiêu cho nhân
viên của tổ chức.

Chương trình SETA là trách nhiệm của CISO và là một biện pháp kiểm soát
được thiết kế để giảm thiểu các sự cố do nhân viên vô tình vi phạm an ninh. Lỗi của
nhân viên là một trong những mối đe dọa hàng đầu đối với tài sản thông tin, vì vậy
việc phát triển các chương trình để chống lại mối đe dọa này là rất đáng giá. Các
chương trình SETA được thiết kế để bổ sung cho các chương trình giáo dục và đào tạo
phổ thông mà nhiều tổ chức sử dụng để giáo dục nhân viên về bảo mật thông tin. Ví
dụ: nếu một tổ chức phát hiện có nhiều nhân viên đang mở các tệp đính kèm e-mail có
vấn đề thì những nhân viên đó phải được đào tạo lại. Theo thông lệ tốt, vòng đời phát
triển hệ thống phải bao gồm việc đào tạo người dùng trong giai đoạn triển khai. Các
biện pháp được sử dụng để kiểm soát tính bảo mật và quyền riêng tư của dữ liệu trực
tuyến đôi khi được gọi là vệ sinh mạng.

1.19. What is the purpose of the SETA program?

Chương trình SETA bao gồm ba yếu tố: giáo dục an toàn, huấn luyện an toàn
và nâng cao nhận thức về an toàn. Một tổ chức có thể không có khả năng hoặc sẵn
sàng đảm nhận cả ba yếu tố này và nó có thể dùng dịch vụ thuê ngoài (outsource) như
6
các cơ sở giáo dục địa phương. Mục đích của SETA là tăng cường an toàn bằng cách
thực hiện những điều sau:

- Nâng cao nhận thức về sự cần thiết phải bảo vệ tài nguyên hệ thống

- Phát triển kỹ năng và kiến thức để người dùng máy tính có thể thực hiện công
việc của họ một cách an toàn hơn

- Xây dựng kiến thức chuyên sâu khi cần thiết để thiết kế, triển khai hoặc vận
hành các chương trình an toàn cho các tổ chức và hệ thống.

1.20. What is security training?

Huấn luyện an toàn cung cấp cho nhân viên thông tin chi tiết và hướng dẫn thực
hành để chuẩn bị cho họ thực hiện nhiệm vụ một cách an toàn. Quản lý an toàn thông
tin có thể phát triển huấn luyện nội bộ hoặc thuê dịch vụ huấn luyện.

1.21. What is a security awareness program?

Chương trình nâng cao nhận thức về an toàn là một trong những chương trình ít
được thực hiện thường xuyên nhất nhưng mang lại nhiều lợi ích nhất trong một tổ
chức, được thiết kế để giữ an toàn thông tin được đặt lên hàng đầu trong tâm trí người
dùng. Nếu chương trình này không được triển khai tích cực, nhân viên có thể bắt đầu
bỏ qua các vấn đề an toàn và nguy cơ có thể phát sinh với an toàn thông tin của tổ
chức.

7
 PHẦN 2: EXERCISE

2.1. Exercise 2: Using a graphics program, design several security awareness

posters on the following themes: updating antivirus signatures, protecting
sensitive information, watching out for e-mail viruses, prohibiting the personal
use of company equipment, changing and protecting passwords, avoiding social
engineering, and protecting software copyrights. What other themes can you
imagine?

8
9
2.2. Exercise 3: Search the Web for security education and training programs in
your area. Keep a list and see which program category has the most examples.
See if you can determine the costs associated with each example. Which do you
think would be more cost-effective in terms of both time and money?

Sau khi tôi đi tìm hiểu thông tin thông qua các trang Web, tôi thấy được rằng
ngành An toàn thông tin là ngành có liên hệ với chương trình giáo dục và đào tạo về
an ninh gần nhất trong Việt Nam. Với sự phát triển công nghệ trong cuộc cách mạng
công nghiệp 4.0 hiện nay, nhu cầu bảo mật thông tin của các cá nhân, doanh nghiệp, tổ
chức trong xã hội trước những cuộc tấn công qua mạng, vi rút,... ngày càng tăng cao,
việc bảo vệ thông tin và dữ liệu trở thành một nhiệm vụ quan trọng. Vì thế, ngành An
toàn thông tin ra đời để đáp ứng nhu cầu này. Để dễ hiểu hơn, ngành An toàn thông tin
là một ngành học tìm hiểu chuyên sâu về mạng, cách bảo vệ, bảo mật thông tin, dữ
liệu, hệ thống thông tin, ứng dụng.

10
 Dưới đây là Danh sách các trường học đào tạo ngành An toàn thông tin mà tôi
tìm kiếm được trên các trang Web:

- Đại học Công nghệ TP.HCM (HUTECH):

+ Thời gian đào tạo: 3.5 năm

+ Tổng số tín chỉ: 150 tín chỉ tích lũy, 5 tín chỉ không tích lũy.

(Nguồn tham khảo:

https://www.hutech.edu.vn/tuyensinh/dai-hoc/nganh-dao-tao/nganh-an-toan-thong-tin)

- Trường Đại học Công nghệ Thông tin (UIT):

+ Thời gian đào tạo: 4 năm.

+ Tổng số tín chỉ: tối thiểu 131 tín chỉ.

(Nguồn tham khảo: https://daa.uit.edu.vn/content/ky-su-nganh-toan-thong-tin-ap-

dung-tu-khoa-12-2017)

- Học viện Công nghệ Bưu chính Viễn thông (PTIT):

+ Thời gian đào tạo: 4.5 năm.

+ Tổng số tín chỉ: 150 tín chỉ.

(Nguồn tham khảo: https://daotao.ptit.edu.vn/nganhhoc/7480202)

- Đại học FPT:

+ Thời gian đào tạo: 4 năm.

+ Tổng số tín chỉ: 145 tín chỉ.

(Nguồn tham khảo: https://hcmuni.fpt.edu.vn/chuong-trinh-dao-tao-nganh-an-toan-

thong-tin)

- Đại học Khoa học và Công nghệ Hà Nội (USTH):

+ Thời gian đào tạo: 3 năm.

+ Tổng số tín chỉ: 120 tín chỉ.

(Nguồn tham khảo: https://usth.edu.vn/nganh-an-toan-thong-tin-hoc-gi-ra-truong-lam-

gi-7684/; https://usth.edu.vn/nganh-an-toan-thong-tin-769/#:~:text=CH%C6%AF
%C6%A0NG%20TR%C3%8CNH%20GI%E1%BA%A2NG%20D%E1%BA%A0Y,-
11
Ch%C6%B0%C6%A1ng%20tr%C3%ACnh%20%C4%91%C3%A0o&text=
%E2%80%93%20N%C4%83m%20h%E1%BB%8Dc%20%C4%91%E1%BA%A1i
%20c%C6%B0%C6%A1ng%20bao,tin%20(60%20t%C3%ADn%20ch%E1%BB
%89))

Với danh sách trên, tôi đã đúc kết một số điều sau, với ngành An toàn thông tin
thì các trường đại học có thời gian đào tạo trung bình tầm 3.5 năm và tổng số tín chỉ
trung bình là 140. Cùng với sự phát triển của xã hội là nhu cầu cập nhập và truyền tải
thông tin của con người vô cùng mạnh mẽ, do đó việc bảo mật và đảm bảo an toàn
thông tin chuyển tải đến người dùng rất cấp thiết. Trước nhu cầu đó, ngành An toàn
thông tin đã trở thành một ngành nghề hấp dẫn của thời đại công nghệ cao. Từ việc
thiết kế, cài đặt các phần mềm quản lý thông tin cho đến nghiên cứu công nghệ và phát
triển chiến lược bảo vệ thông tin đều đòi hỏi vai trò quan trọng của các chuyên gia về
an toàn thông tin. Nếu dựa vào thời gian đào tạo và tín chỉ để tiết kiệm hơn về thời
gian và tiền bạc thì tôi sẽ chọn Trường Đại học Công nghệ Thông tin (UIT). Vì với
thời gian đào tạo 4 năm là tổng số thời gian hợp lý để trau dồi những kiến thức cần
thiết trong ngành và 131 tín chỉ cũng là một con số không quá cao và cũng không quá
thấp.

12