Tin tức

GIC là tổ chức đánh giá sự phù hợp, hoạt động trong lĩnh vực Thử nghiệm - Giám định - Chứng nhận

An toàn thông tin cho DNNVV: Hướng dẫn thực hành đánh giá rủi ro


Trong kỷ nguyên số, an toàn thông tin (ATTT) không còn là vấn đề của riêng các tập đoàn lớn. Doanh nghiệp nhỏ và vừa (DNNVV) chỉ với vài người cũng có thể trở thành nạn nhân của tấn công mạng. Đánh cắp dữ liệu khách hàng, mã độc tống tiền (ransomware), hay chỉ đơn giản là gián đoạn dịch vụ vài giờ cũng đủ gây ra thiệt hại, thậm chí khiến doanh nghiệp lao đao.
 
“Báo cáo từ Liên minh Chống lừa đảo toàn cầu - Global Anti-Scam Alliance (GASA) cho biết Việt Nam là quốc gia chịu thiệt hại lớn thứ 2 toàn cầu, do các hoạt động lừa đảo gây ra vào năm 2023, lên đến 391,8 ngàn tỷ đồng tức là chiếm 3,6% GDP của Việt Nam.”  (Nguồn: GASA, 2024)
 Theo thống kê của của Hiệp hội An ninh mạng quốc gia, năm 2024 tại Việt Nam có tới 46,15% cơ quan, doanh nghiệp bị tấn công mạng, số vụ tấn công mạng ước tính lên tới hơn 659.000 vụ. Quản lý an toàn thông tin không còn là “việc nên làm” mà là “việc phải làm” để tồn tại.
 
ISO/IEC 27001:2022 là tiêu chuẩn quốc tế về Hệ thống quản lý an toàn thông tin (ISMS) giúp doanh nghiệp xây dựng hệ thống bảo mật thông tin một cách bài bản, không tốn kém, từ đó giảm thiểu rủi ro, nâng cao uy tín và tuân thủ pháp luật.
 
Đánh giá rủi ro ATTT là bước then chốt và bắt buộc khi triển khai hệ thống quản lý ATTT theo tiêu chuẩn ISO/IEC 27001. Đây không chỉ là thủ tục, mà là nền tảng giúp DNNVV:
• Nhận diện rủi ro đặc thù.
• Ưu tiên biện pháp kiểm soát.
• Đảm bảo tính phù hợp và hiệu quả của các biện pháp thực hiện.
 
Nội dung sau đây cung cấp hướng dẫn từng bước, giúp DNNVV có thể tự đánh giá rủi ro ATTT và xây dựng biện pháp bảo vệ, ngay cả khi không có chuyên gia về CNTT. Hướng dẫn này được biên tập dựa trên tài liệu "ISO/IEC 27001:2022 Information Security Management Systems: A practical guide for SMEs" của ISO/IEC JTC 1/SC 27, nhưng được trình bày đơn giản hơn để DNNVV có thể thực hiện được ngay.

Quy trình thực hành đánh giá rủi ro an toàn thông tin
 
Bước 1: Xác định phạm vi và bối cảnh
 
Trước khi đánh giá rủi ro, doanh nghiệp cần xác định rõ những tài sản thông tin nào cần bảo vệ, ví dụ: thông tin khách hàng (tên, số điện thoại, email), thông tin thẻ tín dụng, thiết kế sản phẩm, kế hoạch kinh doanh...; việc bảo vệ thông tin này giúp gì cho doanh nghiệp: giữ chân khách hàng? tránh bị phạt? duy trì hoạt động liên tục; những ai có thể bị ảnh hưởng nếu thông tin bị xâm phạm (khách hàng, đối tác...) và các yêu cầu pháp lý liên quan (như Luật an ninh mạng số 24/2018/QH14, Nghị định 13/2023/NĐ-CP,...).
 
Việc xác định rõ các yếu tố này sẽ giúp doanh nghiệp xác định đúng trọng tâm, tập trung nguồn lực và xây dựng các biện pháp bảo vệ phù hợp, hiệu quả nhất.
 
Bước 2: Lựa chọn phương pháp đánh giá rủi ro
 
ISO/IEC 27001:2022 không quy định cụ thể phương pháp đánh giá rủi ro mà cho phép doanh nghiệp tự chọn cách đánh giá phù hợp với yêu cầu cụ thể của mình như:

Phương pháp định tính: Sử dụng các mức độ mô tả (rất cao, cao, trung bình, thấp, rất thấp) để đánh giá Khả năng xảy ra (Likelihood) và Tác động (Impact) của rủi ro.
Ví dụ: Khả năng máy tính bị nhiễm virus có thể là “cao” nếu không cài phần mềm diệt virus. Tác động sẽ là “rất cao” nếu máy tính đó chứa dữ liệu quan trọng.
 
Phương pháp định lượng: Sử dụng các con số (ví dụ: xác suất, số tiền thiệt hại) để đánh giá. Phương pháp này phức tạp hơn, đòi hỏi nhiều dữ liệu và chuyên môn hơn.
Ví dụ: Xác suất mất điện là 10%/năm, thiệt hại khi mất điện là 100 triệu => Giá trị rủi ro = 10 triệu.
 
Phương pháp định tính thường là lựa chọn phù hợp và hiệu quả cho DNNVV, bởi vì phương pháp này đơn giản, dễ áp dụng, không cần chuyên môn sâu và vẫn cung cấp đủ thông tin để ra quyết định. 

Bên cạnh việc chọn phương pháp, doanh nghiệp cũng cần xác định, lập thành văn bản "tiêu chí chấp nhận rủi ro" và "cách chấm điểm rủi ro" (ví dụ: sử dụng ma trận):

Tiêu chí chấp nhận rủi ro: Đây là “ranh giới” để quyết định xem có cần phải xử lý rủi ro hay không. Tiêu chí chấp nhận rủi ro có thể khác nhau tùy theo từng doanh nghiệp, nhưng thường sẽ là:
- Rủi ro thấp và rất thấp: Có thể chấp nhận được. Vì khả năng xảy ra và tác động đều thấp, chi phí để xử lý các rủi ro này có thể cao hơn lợi ích mang lại.
- Rủi ro trung bình: Cần xem xét kỹ lưỡng. Doanh nghiệp có thể chấp nhận nếu không có đủ nguồn lực để xử lý, nhưng phải theo dõi chặt chẽ và có kế hoạch dự phòng.
- Rủi ro cao và rất cao: Không thể chấp nhận. Cần phải có biện pháp xử lý ngay lập tức để giảm thiểu khả năng xảy ra hoặc tác động của rủi ro.

Cách chấm điểm rủi ro: Thường được thể hiện dưới dạng ma trận (bảng) hoặc thang điểm, kết hợp giữa Khả năng xảy ra (Likelihood) và Tác động (Impact). Ma trận này sẽ giúp doanh nghiệp “xếp hạng” các rủi ro (xem ma trận ở phần dưới).
 
"Đánh giá rủi ro theo phương pháp định tính là lựa chọn phù hợp và hiệu quả cho DNNVV, vì đơn giản, dễ áp dụng, không cần chuyên môn sâu và vẫn cung cấp đủ thông tin để ra quyết định." 
Bước 3: Xác định rủi ro (Đi tìm các nguy cơ tiềm ẩn)
 
Bước này là đi tìm các nguy cơ có thể gây thiệt hại cho tài sản thông tin quan trọng của doanh nghiệp. Một rủi ro chỉ xuất hiện khi có đủ ba yếu tố:
• Có tài sản thông tin cần bảo vệ.
• Có mối đe dọa có thể gây hại.
• Có lỗ hổng để mối đe dọa đó khai thác.
 
Ví dụ:
- Mối đe dọa: Nhân viên cũ có ý đồ xấu, hacker từ bên ngoài, virus từ email, phần mềm độc hại từ USB,...
- Lỗ hổng: Mật khẩu bảo vệ quá dễ đoán, phần mềm trên máy tính chưa cập nhật, nhân viên không biết về lừa đảo qua email,...
 
Để xác định rủi ro, có thể lập bảng như sau (hoặc liệt kê theo từng tài sản):
 
Bảng xác định rủi ro tiềm ẩn đối với tài sản thông tin
Tài sản thông tin
(Cái gì cần bảo vệ?)
Mối đe dọa tiềm ẩn
(Ai/cái gì có thể gây hại?)
Lỗ hổng có thể bị khai thác
(Điểm yếu là gì?)
Dữ liệu khách hàng (họ tên, email, số điện thoại, lịch sử mua hàng...) - Tấn công ransomware.
- Nhân viên vô tình làm lộ/mất thông tin.
- Hacker xâm nhập hệ thống.
- Mất điện gây mất dữ liệu.
- Máy tính không cài phần mềm diệt virus/ransomware.
- Mật khẩu yếu, dễ đoán.
- Nhân viên không được đào tạo về bảo mật email/dữ liệu.
- Không có hệ thống sao lưu dự phòng.
Website bán hàng - Tấn công DDoS.                             
- Hacker thay đổi giao diện, chèn mã độc.
- Lỗi SQL injection.
- Không có tường lửa hoặc cấu hình tường lửa kém
- Phần mềm website, hệ điều hành lỗi thời, chưa vá lỗ hổng.
- Không kiểm tra kỹ dữ liệu đầu vào từ người dùng.
Hệ thống email - Nhân viên mở email lừa đảo (phishing).
- Bị tấn công để phát tán thư rác
- Nhân viên không được đào tạo về phishing
- Hệ thống không có bộ lọc thư rác tốt
Máy tính nhân viên - Nhiễm virus, malware. - Mất cắp máy tính. - Không có phần mềm diệt virus.
- Không mã hóa ổ cứng.
... ... ...
Bước 4: Phân tích rủi ro (Chấm điểm cho từng nguy cơ)
 
Sau khi đã xác định được các rủi ro tiềm ẩn, bước tiếp theo là đánh giá mức độ nghiêm trọng của từng rủi ro. Việc này giúp doanh nghiệp xác định được những rủi ro nào cần ưu tiên xử lý trước.
 
Có thể sử dụng ma trận hoặc thang điểm, trong đó ma trận rủi ro là công cụ trực quan và dễ sử dụng.
 
Với mỗi rủi ro, cần đánh giá: Khả năng xảy ra (Dựa trên kinh nghiệm và hiểu biết của người đánh giá) và Tác động/Hậu quả (Nếu rủi ro xảy ra, thiệt hại sẽ như thế nào).

- Tiêu chí đánh giá khả năng xảy ra
Mức độ Mô tả Ví dụ
Rất cao (VH) Gần như chắc chắn xảy ra, đã từng xảy ra nhiều lần, hoặc xảy ra thường xuyên (hàng ngày/tuần). Nhân viên thường xuyên truy cập các trang web không an toàn.
Cao (H) Có khả năng cao xảy ra, đã từng xảy ra một vài lần, hoặc xảy ra theo chu kỳ (hàng tháng). Ít nhất một máy tính trong doanh nghiệp đã từng bị nhiễm virus.
Trung bình (M) Có thể xảy ra, đã từng xảy ra một lần, hoặc xảy ra không thường xuyên (hàng năm). Đã từng có sự cố mất điện gây gián đoạn hoạt động.
Thấp (L) Ít có khả năng xảy ra, chưa từng xảy ra, hoặc rất hiếm khi xảy ra (vài năm một lần). Chưa từng bị tấn công DDoS.
Rất thấp (VL) Rất khó xảy ra, hầu như không thể xảy ra. Chưa từng có trường hợp nhân viên cố ý phá hoại dữ liệu.

- Tiêu chí đánh giá tác động/hậu quả
Mức độ Mô tả Ví dụ
Rất cao (VH) Đe dọa sự sống còn của doanh nghiệp (phá sản, ngừng hoạt động vĩnh viễn, bị truy tố hình sự...). Mất toàn bộ dữ liệu khách hàng và không có bản sao lưu, dẫn đến không thể khôi phục hoạt động.
Cao (H) Gây tổn thất lớn về tài chính (số tiền), uy tín (khiến khách hàng lớn rời bỏ, bị phạt nặng), phải ngừng hoạt động một thời gian dài. Rò rỉ thông tin cá nhân của hàng nghìn khách hàng, bị yêu cầu bồi thường, xử phạt theo quy định của pháp luật.
Trung bình (M) Gây gián đoạn hoạt động (một số bộ phận ngừng hoạt động trong vài ngày), ảnh hưởng đến doanh thu (giảm % doanh thu). Website bán hàng bị sập trong vài giờ do quá tải.
Thấp (L) Gây ra một số phiền toái, thiệt hại nhỏ (chỉ cần vài giờ để khắc phục, ảnh hưởng đến một số ít khách hàng). Một vài máy tính của nhân viên bị nhiễm virus qua email quảng cáo.
Rất thấp (VL) Hầu như không có thiệt hại đáng kể, không ảnh hưởng đến hoạt động kinh doanh. Một nhân viên quên mật khẩu đăng nhập vào hệ thống (nhưng đã được cấp lại ngay).
 
- Sử dụng ma trận rủi ro để xác định mức độ rủi ro:
 
Ghi chú:
- 9 = Rủi ro rất cao (màu đỏ): Cần xử lý ngay lập tức.
- 6÷8 = Rủi ro cao (màu cam): Cần xem xét và có biện pháp xử lý sớm.
- 3÷5 = Rủi ro trung bình (màu vàng): Có thể theo dõi và xem xét xử lý sau.
- 1÷2 = Rủi ro thấp (màu xanh lá cây): Có thể chấp nhận, nhưng vẫn cần theo dõi.

 
Cách sử dụng: Tìm giao điểm giữa cột “Khả năng xảy ra” và hàng “Tác động”. Ví dụ: Rủi ro có khả năng xảy ra "cao" và tác động "trung bình" => Mức độ rủi ro = 6 (màu cam). Rủi ro có khả năng "rất thấp" và tác động "rất thấp" => Mức độ rủi ro = 1 (xanh lá).
 
Lưu ý: Ma trận này chỉ là ví dụ minh họa. Doanh nghiệp có thể tùy chỉnh cho phù hợp với điều kiện thực tế (thay đổi số mức độ, thay đổi ngưỡng chấp nhận...). Điều quan trọng là phải thống nhất và áp dụng nhất quán. Ngoài ra, doanh nghiệp tự quyết định ngưỡng chấp nhận được, ví dụ: có thể chấp nhận rủi ro thấp, còn lại là phải có phương án xử lý.
 
Bước 5: Đánh giá, xác định ưu tiên và lập kế hoạch xử lý rủi ro
 
Sau khi phân tích và “chấm điểm” cho từng rủi ro, bước tiếp theo là so sánh mức độ rủi ro đó với ngưỡng chấp nhận (mức rủi ro mà doanh nghiệp sẵn sàng chịu đựng). Việc này giúp quyết định xem rủi ro nào cần phải xử lý, rủi ro nào có thể tạm thời chấp nhận.
 
i) So sánh: Đối chiếu mức độ rủi ro của từng rủi ro (từ ma trận ở Bước 4) với tiêu chí chấp nhận rủi ro đã xác định ở Bước 2.
Ví dụ: Nếu tiêu chí là chấp nhận rủi ro “thấp”, thì các rủi ro “trung bình”, “cao” và “rất cao” đều cần phải xử lý.
ii) Xác định: Liệt kê các rủi ro cần phải xử lý (vượt quá ngưỡng chấp nhận).
iii) Ưu tiên: Vì không có đủ thời gian và tiền bạc để xử lý tất cả, hãy tập trung vào các rủi ro “Rất cao” và “Cao” trước.
iv) Lập Danh sách rủi ro và kế hoạch xử lý: Ghi lại tất cả các rủi ro (cả những rủi ro cần xử lý và những rủi ro có thể chấp nhận) vào một bảng, cùng với kế hoạch hành động.
 
Trong Kế hoạch xử lý rủi ro, doanh nghiệp có thể chọn một trong các phương án sau:
- Giảm thiểu rủi ro: Đây là phương án phổ biến nhất. Giảm thiểu rủi ro bằng cách áp dụng các biện pháp kiểm soát để giảm khả năng xảy ra hoặc tác động của rủi ro. Ví dụ: Cài đặt phần mềm diệt virus, tường lửa; Cập nhật phần mềm thường xuyên; Sử dụng mật khẩu mạnh và thay đổi định kỳ; Sao lưu dữ liệu thường xuyên; Mã hóa dữ liệu nhạy cảm; Kiểm soát truy cập (phân quyền người dùng).
- Chuyển rủi ro: Chuyển một phần hoặc toàn bộ rủi ro cho bên thứ ba (Ví dụ: Mua bảo hiểm để được bồi thường nếu bị tấn công).
- Chấp nhận rủi ro: Phương án này thường chỉ áp dụng cho các rủi ro có mức độ thấp và chi phí xử lý cao hơn lợi ích mang lại. Tuy nhiên, cần phải theo dõi chặt chẽ các rủi ro đã chấp nhận.
- Tránh/Loại bỏ rủi ro: Thay đổi hoặc ngừng hoạt động/quy trình gây ra rủi ro. Ví dụ: Không sử dụng dịch vụ email nếu không có biện pháp bảo vệ đủ mạnh. Phương án này thường ít được áp dụng vì có thể ảnh hưởng đến hoạt động kinh doanh.
 
Bảng danh sách rủi ro và kế hoạch xử lý

Đánh giá rủi ro ATTT không phải là công việc làm một lần là xong. Doanh nghiệp cần coi đây là một “chu trình cải tiến”: Đánh giá, xử lý, theo dõi, học hỏi và lặp lại. Cách tiếp cận này giúp doanh nghiệp luôn sẵn sàng ứng phó với các mối đe dọa mới.
 
Bảo vệ an toàn thông tin không phải là “nhiệm vụ bất khả thi” đối với DNNVV. Bằng cách đánh giá rủi ro một cách nghiêm túc, thường xuyên và áp dụng các biện pháp kiểm soát phù hợp, doanh nghiệp hoàn toàn có thể giảm thiểu rủi ro, bảo vệ tài sản, và tạo dựng niềm tin với khách hàng.
GIC Việt Nam
Chia sẻ: