Công cụ hỗ trợ quản lý chất lượng an toàn thông tin đầu tiên của Việt Nam (02/01/2008)
Trong
xu thế hội nhập thế giới, chính phủ điện tử và thương mại điện tử đang
trở thành xu thế tất yếu của các quốc gia. Khi đó, vấn đề đặt ra là làm
sao để đảm bảo an toàn thông tin (ATTT), tránh được các rủi ro do công
nghệ đem lại. Tuy nhiên, để xây dựng hệ thống ATTT theo tiêu chuẩn quốc
tế đòi hỏi chi phí lớn, vượt quá khả năng tài chính và nhân lực của
nhiều đơn vị, tổ chức, đặc biệt là ở một nước còn nghèo như Việt Nam.
Nhằm khắc phục khó khăn này Sở KH&CN Đồng Nai đã xây dựng Công cụ
hỗ trợ quản lý chất lượng ATTT (Assistant Tool Managing The Quality of
Information Security - ATMQIS) nhằm giúp các cơ quan nhà nước, các
doanh nghiệp vừa và nhỏ có cơ hội tiếp cận hệ thống ATTT theo tiêu
chuẩn quốc tế với chi phí thấp. ATMQIS được xây dựng dựa trên các tiêu
chuẩn quốc tế về ATTT ISO/IEC 27002 nhằm tạo ra một mắt xích liên kết
hai yếu tố công nghệ và con người. ATMQIS được tổ chức theo mô hình kim
tự tháp với 3 lớp, trong đó:
- Lớp thứ nhất
(đỉnh kim tự tháp) mô tả các chính sách được áp dụng trong tổ chức.
Trong một tổ chức có nhiều bộ phận, từng bộ phận lại có chức năng nhiệm
vụ, tính chất, cách tổ chức thông tin, trình độ nhận thức về ATTT chênh
lệch. Chính vì vậy khi thiết lập các chính sách, ATMQIS giúp xác định
rõ mục đích của chính sách sẽ được thiết lập, đối tượng thực thi, phạm
vi tác động…
- Lớp thứ hai
mô tả các quy tắc, quy định thực thi các chính sách. Hệ thống các quy
tắc ATTT được thể hiện trên 10 lĩnh vực lớn, bao hàm các quy định từ tổ
chức, con người, an ninh vật lý đến các công cụ kỹ thuật ATTT. Các quy
tắc được xây dựng trên mô hình công nghệ thông tin chuẩn của tổ chức và
thể hiện được tính đặc thù của tổ chức đó. Thông qua việc thực thi các
quy tắc, có thể đánh giá chất lượng ATTT của một tổ chức thông qua kiểm
toán (Audit).
- Lớp thứ ba
(lớp cuối cùng của mô hình). Đây là các quy trình, giải pháp hỗ trợ
thực thi các quy tắc, quy định trên. Các quy trình này có thể liên quan
đến nhiều chính sách và đối tượng sử dụng khác nhau.
ATMQIS
gồm 3 module chính: Quản lý chính sách, quản lý nhận thức và quản lý hệ
thống. Trong đó quản lý nhận thức (dùng cho Admin và Super User) có 4
module con:
- “Quản
lý đề kiểm tra”: Cho phép Admin tạo mới, hiệu chỉnh hoặc xóa đề kiểm
tra dành cho nhân viên từng bộ phận trực thuộc cơ quan (End User).
Ngoài ra, Admin còn có thể đưa một đề kiểm tra bất kỳ vào sử dụng và
kết thúc quá trình sử dụng bất cứ lúc nào, ở bất kỳ bộ phận nào.
- “Quản
lý câu hỏi cơ bản”: Cho phép Admin tạo mới, hiệu chỉnh hoặc xóa câu hỏi
về kiến thức cơ bản do Admin hoặc Super User tạo ra.
- “Quản lý bài học cơ bản”: Cho phép Admin cập nhật nhóm bài học, duyệt các bài học do Admin hoặc Super User tạo ra.
- “Kiểm tra nhận thức” (dành cho End User): Công
cụ giúp nhân viên trong toàn cơ quan cập nhật những kiến thức cơ bản về
ISO 17799, kiến thức tổng quát về ATTT và tra cứu thông tin về chính
sách ATTT đang được áp dụng trong bộ phận mình trực thuộc.
ATMQIS
thể hiện bằng 2 ngôn ngữ (Việt và Anh) trợ giúp cho việc thiết lập,
quản lý, vận hành và đánh giá mức độ thực thi chính sách ATTT trong tổ
chức, phù hợp với điều kiện thực tế và mang lại hiệu quả cao, cụ thể :
- Phân tích hệ tiêu chuẩn ISO 17799:2005.
- Xây dựng bộ chính sách mẫu phù hợp với điều kiện thực tế Việt Nam và khả năng áp dụng thực tế của tổ chức.
- Cho phép nhà quản lý (quản trị ATTT) điều chỉnh, thiết lập bộ chính sách ATTT phù hợp với từng đơn vị mình quản lý.
- Cho phép nhân viên tiếp cận các chính sách ATTT và có trách nhiệm thực thi các quy định trong chính sách ATTT của đơn vị mình.
-
Cho phép các nhà quản lý kiểm tra nhận thức và đánh giá việc thực thi
chính sách ATTT trong đơn vị thông qua các bài kiểm tra kiến thức.
- Cán bộ, nhân viên trong cơ quan có thể tự học tập, nâng cao kiến thức tổng quát về ATTT thông qua các giáo trình dựng sẵn.
