�ݺ�ߣ

BÁO CÁO MÔN HỌC: QUẢN LÍ AN TOÀN THÔNG TIN
ĐỀ TÀI
NGHIÊN CỨU VÀ XÂY DỰNG CHÍNH SÁCH PHÒNG
CHỐNG THẤT THOÁT DỮ LIỆU CHO HỆ THỐNG ERP
DOANH NGHIỆP
HỌC VIỆN KỸ THUẬT MẬT MÃ
KHOA AN TOÀN THÔNG TIN
NHÓM 12
Thành viên: Đỗ Thị Hồng - AT170322
Nguyễn Thị Mai Linh - AT170329
Đặng Thị Ly - AT170333
Nguyễn Thị Nga - AT170536

Nội dung báo cáo
CHƯƠNG 1 : TỔNG QUAN VỀ CHÍNH SÁCH AN TOÀN
THÔNG TIN VÀ HỆ THỐNG ERP DOANH NGHIỆP
CHƯƠNG 2 : XÂY DỰNG CHÍNH SÁCH PHÒNG CHỐNG
THẤT THOÁT DỮ LIỆU CHO HỆ THỐNG ERP DOANH
NGHIỆP
CHƯƠNG 3: TRIỂN KHAI VÀ ĐÁNH GIÁ HIỆU QUẢ CỦA
CHÍNH SÁCH ĐÃ XÂY DỰNG

Chương 1: Tổng quan về CSATTT và hệ thống ERP doanh nghiệp
1. Tổng quan về ATTT và CSATTT:
1.1. Khái quát về an toàn và bảo mật thông tin:
 Bảo vệ an toàn thông tin dữ liệu là một chủ đề rộng, có liên quan đến nhiều lĩnh vực . Các phương pháp bảo vệ an toàn thông tin dữ liệu có
thể được phân thành ba nhóm sau:
 Bảo vệ an toàn thông tin bằng các biện pháp hành chính
 Bảo vệ an toàn thông tin bằng các biện pháp kỹ thuật (phần cứng)
 Bảo vệ an toàn thông tin bằng các biện pháp thuật toán (phần mềm)
 An toàn thông tin bao gồm các nội dung sau:
 Bảo mật (Confidentiality): Đảm bảo rằng thông tin chỉ được truy cập bởi những người được ủy quyền.
 Tính toàn vẹn (Integrity): Bảo vệ sự toàn vẹn của thông tin, đảm bảo rằng thông tin không bị sửa đổi trái phép hoặc thay đổi.
 Sẵn sàng (Availability): Đảm bảo rằng thông tin có sẵn và có thể truy cập bởi những người được ủy quyền khi cần thiết.

1.2. Khái niệm chính sách an toàn thông tin:
 Chính sách an toàn thông tin là các hướng dẫn bằng văn bản do cấp quản lý cung cấp nhằm thông báo cho nhân viên và những
người khác tại nơi làm việc về hành vi thích hợp liên quan đến việc sử dụng thông tin và tài sản thông tin một cách thích hợp
và an toàn.
 Một chương trình ATTT chất lượng bắt đầu và kết thúc với chính sách.
 Chính sách an toàn thông tin là nền tảng thiết yếu của một chương trình
ATTT hiệu quả.
 Chính sách an toàn thông tin là phương tiện kiểm soát ít tốn kém nhất,
nhưng chúng thường khó thực hiện nhất.
 Các chính sách là tài liệu tham khảo quan trọng đối với đánh giá nội bộ,
để giải quyết các tranh chấp pháp lý về trách nhiệm giải trình của ban
quản lý.
 Chính sách có thể là một trong số rất ít các biện pháp kiểm soát hoặc biện
pháp bảo vệ bảo vệ một số thông tin nhất định.
1.3. Vai trò của chính sách an toàn thông tin:

1.4.Chính sách an toàn thông tin trong doanh nghiệp:
 Chính sách an toàn thông tin trong doanh nghiệp phải được điều chỉnh cho phù hợp với các nhu
cầu cụ thể của tổ chức.
 CSATTT phải đáp ứng một số tiêu chí:
• Không bao giờ được xung đột với luật pháp.
• Phải có khả năng đứng trước tòa, nếu bị thách thức
• Phải được hỗ trợ và quản lý thích hợp
 Nguyên tắc xây dựng CSATTT:
• Chính sách phải đóng góp vào sự thành công của tổ
chức.
• Ban quản lý phải đảm bảo chia sẻ trách nhiệm một
cách đầy đủ.
• Người dùng cuối nên tham gia vào quá trình phát
triển chính sách. Mô hình chính sách an toàn thông tin trong doanh nghiệp

2. Tổng quan về hệ thống ERP doanh nghiệp
2.1.Hệ thống ERP:
 ERP (Enterprise Resource Planning) – Hệ thống hoạch định nguồn lực doanh nghiệp. ERP là công nghệ dựa
trên máy tính tích hợp dữ liệu trong tổ chức và áp đặt các quy trình chuẩn hóa cho dữ liệu. ERP là phần mềm
đóng gói được thiết kế để tích hợp tích hợp và tối ưu hóa các quy trình kinh doanh của doanh nghiệp.
 Tất cả hoạt động của doanh nghiệp như quản trị nhân lực, quản lý sản xuất, quản lý cung ứng vật tư, quản lý
tài chính, quản lý bán hàng, trao đổi với đối tác, khách hàng đều được thực hiện trên hệ thống ERP.
 Đối tượng sử dụng trong hệ thống ERP: cung cấp thông tin
cho nhiều đối tượng khác nhau.
 Ứng dụng hệ thống ERP trong doanh nghiệp: Tạo hệ thống
kiểm soát tài chính nội bộ với các kiểm tra chéo; tạo các báo cáo
phân tích theo nhiều chiều một cách nhanh chóng; theo dõi đơn
hàng; quản lý bán hàng; quản lý công nợ khách hàng; tính giá
thành sản xuất
Hệ thống hoạch định nguồn lực doanh nghiệp

2. Tổng quan về hệ thống ERP doanh nghiệp
2.2.Hiện trạng thất thoát dữ liệu trong hệ thống ERP doanh nghiệp:
 Tình trạng thất thoát dữ liệu trong hệ thống ERP của các doanh nghiệp hiện này là một vấn để nghiêm trọng có thể gây ra
những hậu quả đáng kể. Sự thất thoát dữ liệu có thể xảy ra do nhiều nguyên nhân khác nhau, bao gồm:
Nguyên
nhân
Sự cố kỹ thuật
Sai sót con người
Tấn công mạng và
malware
Thiếu quy trình sao lưu
dữ liệu
Sự cố tự nhiên
Lỗi phần cứng
Lỗi phần mềm
Sự cố mạng
Xóa dữ liệu một cách vô tình
Thao tác không đúng với dữ liệu quan trọng
Không thực hiện đúng qui trình sao lưu và phục hồi dữ liệu
Ransomware
Phá hủy dữ liệu
Thiệt hại tài chính
Mất mát dữ liệu không thể khôi phục
Thiệt hại về uy tín và khách hàng
Hỏa hoạn
Lụt lội
Thiên tai

CHƯƠNG 2: XÂY DỰNG CHÍNH SÁCH PHÒNG CHỐNG THẤT THOÁT DỮ
LIỆU CHO HỆ THỐNG ERP DOANH NGHIỆP
1. Mục đích
 Bảo vệ thông tin cá nhân: Đảm bảo rằng thông tin cá nhân được bảo vệ một cách đáng tin cậy, giữ cho khách hàng sự yên
tâm và tin cậy.
 Bảo đảm tính liên tục của doanh nghiệp: Thực hiện quản lý rủi ro hiệu quả, tuân thủ các quy định pháp lý và áp dụng các
biện pháp cẩn trọng về vấn đề bảo mật để đảm bảo tính liên tục của hoạt động kinh doanh.
 Tuân thủ luật pháp: Hiểu rõ và thực hiện các yêu cầu và quy định pháp lý liên quan, đảm bảo sự phù hợp với tổ chức và
khách hàng.
 Cải thiện quản lý rủi ro: Thực hiện các chương trình làm việc tự động để đảm bảo bảo vệ thông tin khách hàng, thông tin
tài chính và tài sản trí tuệ khỏi mất mát, trộm cắp và hỏng hóc.
 Tăng cường khả năng cạnh tranh: Nâng cao khả năng cạnh tranh của doanh nghiệp, đặc biệt là ở các lĩnh vực yêu cầu
chứng nhận như một điều kiện tiên quyết để cung cấp dịch vụ.
“Chính sách Phòng chống thất thoát dữ liệu cho Hệ thống ERP doanh nghiệp”
 Chính sách đáp ứng và duy trì:
• Tính bảo mật thông tin
• Tín toàn vẹn thông tin
• Tính sẵn sang của thông tin
• Nhận thức và trách nhiệm của nhân viên
• Cung cấp cơ sở chung cho tổ chức phát triển

2. Tổng quan:
Hệ thống ERP (Enterprise Resource Planning) của doanh nghiệp đóng vai trò quan trọng trong việc quản lý
và tích hợp các hoạt động kinh doanh, từ quản lý tài nguyên con người đến quản lý sản xuất và dịch vụ khách
hàng. Trong hệ thống này, thông tin về hoạt động kinh doanh, thông tin về khách hàng, dữ liệu nhân viên và
các thông tin nhạy cảm khác được lưu trữ và xử lý.
Mất mát hoặc rò rỉ thông tin từ hệ thống ERP có thể gây ra những hậu quả nghiêm trọng cho doanh nghiệp
• Tiềm ẩn nguy cơ mất mát về thông tin quan trọng như thông tin khách hàng, chiến lược kinh doanh và dữ
liệu tài chính.
• Tác động đến uy tín và danh tiếng của doanh nghiệp
• Vi phạm pháp luật
Chính sách Phòng chống thất thoát dữ liệu cho Hệ thống ERP của doanh nghiệp được thiết lập để đảm bảo
rằng các biện pháp bảo vệ dữ liệu được triển khai và tuân thủ một cách nghiêm ngặt, nhằm giảm thiểu nguy cơ
mất mát dữ liệu, bảo vệ uy tín và tài chính của doanh nghiệp.

3. Phạm vi:
Áp dụng cho tất cả các thành viên trong tổ chức, bao gồm cả lãnh đạo, nhân viên và
bất kỳ bên nào có quyền truy cập hoặc tương tác với hệ thống ERP. Đồng thời, chính
sách này cũng áp dụng cho tất cả các hệ thống và quy trình liên quan đến hệ thống ERP
của doanh nghiệp. Cụ thể:
• Thành viên trong tổ chức: Tất cả các nhân viên, từ lãnh đạo đến nhân viên cấp dưới.
• Hệ thống ERP: Chính sách áp dụng cho toàn bộ hệ thống ERP của doanh nghiệp,
bao gồm cả phần mềm, phần cứng và môi trường mạng liên quan.
• Quy trình liên quan đến hệ thống ERP: Bất kỳ quy trình nào liên quan đến hệ thống
ERP, bao gồm việc nhập dữ liệu, xử lý đơn hàng, quản lý kho, và các hoạt động
khác, đều phải tuân thủ chính sách này.

4. Chính sách:
4.1.Quản lí thiết bị:
Bảo vệ HT, lọc kết nối,
ghi nhật kí, áp đặt
chính sách
Phát hiện , ngăn chặn
việc xâm nhập trái
phép
Hệ thống Linux
Hệ thống Windows
Giảm việc mất mát dữ
liệu trong HT
Firewall IDS/IPS
Thiết đặt và cấu
hình HT máy
chủ
Quản lí các
thiết bị lưu
trữ di động

4. Chính sách:
4.2.Quản lí con người:
Trước khi làm việc
Trong khi làm việc
Chấm dứt và thay
đổi việc làm
Nhân viên, nhà thầu và người sử dụng của bên thứ ba được liệt kê chi tiết tất cả những quy định về trách nhiệm của mình trong
việc bảo vệ an toàn thông tin. Sau khi đồng ý với những yêu cầu được nêu trong hợp đồng lao động, hợp đồng với nhà thầu và
người sử dụng, các bên liên quan phải tuân thủ nghiêm ngặt theo những điều khoản đã ghi.
Để đảm bảo rằng tất cả các nhân viên, nhà thầu và người sử dụng của bên thứ ba nhận thức được các mối đe dọa an ninh thông tin
và các mối quan tâm, trách nhiệm và nghĩa vụ pháp lý của họ, và được trang bị để hỗ trợ cho chính sách an ninh tổ chức trong quá
trình làm việc bình thường. Đảm bảo được trang bị các kiến thức, điều kiện cần thiết nhằm hỗ trợ chính sách an toàn thông tin của
tổ chức trong quá trình làm việc, và giảm thiểu các rủi ro do con người gây ra.
Tất cả các nhân viên, nhà thầu và người sử dụng của bên thứ ba phải trả lại tất cả các tài sản của tổ chức sở hữu của họ khi kết
thúc làm việc, hợp đồng hoặc thỏa thuận của họ.

4. Chính sách:
4.3.Quản lí truy cập:
• Các nhân viên có thể truy cập, sử dụng hoặc chia sẻ thông tin độc quyền chỉ trong phạm vi được ủy quyền và nó thực sự
cần thiết để thực hiện nhiệm vụ công việc được giao.
• Bộ phận IT có trách nhiệm tạo các hướng dẫn liên quan đến sử dụng của các cá nhân trên các hệ thống mạng
Internet/Intranet/Extranet.
• Mọi hoạt động của người dùng trong hệ thống đều sẽ được ghi log lại
• Tất cả các thiết bị di động và máy tính có kết nối với mạng nội bộ phải tuân thủ các chính sách quyền truy cập tối thiểu.
• Tất cả các thông tin bí mật của công ty được lưu trữ phân tán trên hai file server, được phân quyền và gán nhãn tự động
bằng Windows Server 2012 Dynamic Access Control kết hợp Windows Right Management Services và được tự động mã
hóa. Không có nhân viên nào được phép truy xuất những thông tin này trừ ban lãnh đạo của công ty.
• Mức độ sửu dụng mật khẩu phải tuân thủ các chính sách mật khẩu.
• Cấm sao chép trái phép các tài liệu có bản cứng
• Cấm mọi hành vi vi phạm an ninh hay làm gián đoạn truyền thông mạng bao gồm: cài đặt các malicious code, tấn công
từ chối dịch vụ (DoS/DDoS), giả mạo hay ăn cắp các thông tin của các nhân viên khác

4. Chính sách:
4.4.Quản lí thông tin:
 Phân loại thông tin:
• Thông tin bình thường: là những thông tin ngoài công việc, không liên quan đến công ty, được trao đổi hàng ngày giữa các nhân viên
trong công ty với nhau
• Thông tin nhạy cảm: là những thông tin liên quan đến công việc trong nội bộ công ty giữa nhân viên với nhân viên hoặc nhân viên với
khách hàng (doanh thu, lợi nhuận, tiền lương, PR, chăm sóc khách hàng)
• Thông tin mật: là những thông tin quan trọng của công ty, chỉ những người có quyền hạn thuộc công ty mới được biết (thông tin cá nhận
của nhân viên, khách hàng, username, password, hợp đồng, thông tin đối tác)
• Thông tin tuyệt mật: là những thông tin mang tính chiến lược kinh doanh, định hướng của công ty (bản thiết kế, kế hoạch)

4. Chính sách:
4.4.Quản lí thông tin:
 Chính sách quản lí thông tin:
• Đối với thông tin bình thường: nhân viên được tùy ý sử dụng, trao đổi ngoài giờ làm việc.
• Đối với thông tin nhạy cảm:Các nhân viên phải đảm bảo rằng tất cả các thông tin nhạy cảm ở dạng bản cứng hoặc tài
liệu điện tử phải an toàn trong khu vực làm việc của mình.Máy tính của mỗi nhân viên phải được khóa lại khi không làm
việc và được tắt hoàn toàn khi hết giờ làm việc.Những tài liệu lưu hành nội bộ không được để trên bàn làm việc mà phải
được cất trong một ngăn kéo và được khóa cẩn thận khi nhân viên đi ra ngoài hoặc hết giờ làm việc
• Đối với thông tin mật: Bao gồm tất cả các chính sách trên.Thông tin cá nhân, username, password được lưu trữ trong
các server phải được đặt trong những phòng đặc biệt, được khóa chắc chắn và được giám sát liên tục qua camera, chỉ có
nhân viên IT phụ trách mới được phép tiếp cận .Các văn bản, giấy tờ quan trọng phải được lấy ra khỏi máy in ngay lập
tức sau khi in xong.Tất cả dữ liệu mật được lưu trữ trong các thiết bị ngoại vi như CD-ROM, DVD hay USB đều phải
được mã hóa và đặt password.
• Đối với thông tin tuyệt mật: Bao gồm tất cả các chính sách trên.Tất cả các tài liệu, giấy tờ sau khi không còn được sử
dụng phải được băm nhỏ trong máy cắt giấy và thùng xử lý dữ liệu bí mật được khóa cẩn thận.Bảng trắng được sử dụng
trong các cuộc họp cần phải được xóa sạch ngay sai khi cuộc họp kết thúc.Tất cả máy in và máy fax phải được xóa hết
dữ liệu, giấy tờ ngay sau khi chúng được in

5. Vai trò và trách nhiệm:
 Ban Quản lý hệ thống:
• Chịu trách nhiệm tổ chức triển khai và duy trì chính sách liên quan đến bảo mật thông tin và quản lý rủi ro.
• Phối hợp với các bộ phận khác trong tổ chức để đảm bảo rằng chính sách và biện pháp bảo mật được thực hiện một cách
hiệu quả và phù hợp với nhu cầu của doanh nghiệp.
• Theo dõi và đánh giá hiệu suất của hệ thống, bao gồm cả việc kiểm tra định kỳ và đánh giá rủi ro, cũng như thực hiện
các biện pháp cải thiện nếu cần thiết.
• Đảm bảo rằng mọi vấn đề bảo mật được giải quyết một cách nhanh chóng và hiệu quả.
 Nhân viên:
• Cần tuân thủ các quy định và biện pháp bảo mật được đặt ra bởi ban quản lý hệ thống, bao gồm cả việc tham gia vào quá
trình đào tạo về an ninh thông tin và bảo mật dữ liệu.
• Thực hiện các biện pháp bảo mật như xác thực khi truy cập vào hệ thống, không chia sẻ thông tin xác thực với người
khác, và tuân thủ nguyên tắc "least privilege".
• Báo cáo ngay lập tức bất kỳ sự cố hoặc vi phạm nào liên quan đến bảo mật thông tin cho bộ phận quản lý hệ thống để có
biện pháp xử lý kịp thời và hiệu quả.

6. Luật/Hướng dẫn áp dụng:
7.Tính hiệu lực:
 Luật bảo vệ dữ liệu cá nhân.
 Qui định về am toàn thông tin của doanh nghiệp.
 Hiệu lực ngay sau khi được công bố.
 Xem xét và điều chỉnh theo nhu cầu và pháp lí.
 Điều chỉnh theo nhu cầu của doanh nghiệp.

8. Thông tin và hỗ trợ:
Cung cấp thông tin:Ban Quản lý hệ thống sẽ cung cấp thông tin chi tiết và cần thiết về chính sách để nhân
viên hiểu rõ và áp dụng đúng. Thông tin này có thể bao gồm mục đích của chính sách, các biện pháp bảo mật
cụ thể, quy trình áp dụng, và các yêu cầu pháp lý liên quan.
Hỗ trợ:Ban Quản lý hệ thống cũng sẽ cung cấp hỗ trợ cho nhân viên trong việc áp dụng chính sách. Họ có thể
giải đáp các câu hỏi, cung cấp hướng dẫn về cách tuân thủ chính sách, và giúp đỡ trong việc giải quyết bất kỳ
vấn đề hoặc sự cố nào liên quan đến bảo vệ dữ liệu trong hệ thống ERP.
Kênh liên hệ:Nhân viên có thể liên hệ trực tiếp với Ban Quản lý hệ thống thông qua các kênh thông tin đã
được xác định trước, chẳng hạn như email, điện thoại, hoặc các phương tiện truyền thông nội bộ của doanh
nghiệp.
Tính liên tục:
• Hỗ trợ và cung cấp thông tin liên tục là rất quan trọng để đảm bảo rằng nhân viên luôn có kiến thức cần
thiết và được hỗ trợ khi cần thiết trong quá trình áp dụng chính sách.
• Bằng cách này, thông tin và hỗ trợ sẽ được cung cấp đầy đủ và kịp thời, giúp nhân viên hiểu và tuân thủ
chính sách một cách hiệu quả.

9. Phê chuẩn:
Quy trình phê chuẩn:
• Trước khi triển khai, chính sách được trình lên Ban Giám đốc, cơ quan có thẩm quyền tương tự để được
phê chuẩn.
• Ban Giám đốc, cơ quan có thẩm quyền tương tự sẽ xem xét và đánh giá chính sách dựa trên tính khả thi,
tính pháp lý, và các yêu cầu bảo mật.
• Nếu chính sách được chấp thuận, Ban Giám đốc, cơ quan có thẩm quyền tương tự sẽ đặt dấu và ngày phê
chuẩn trên tài liệu chính sách.
Tính hiệu lực:
• Chính sách sẽ có hiệu lực từ ngày phê chuẩn được ghi chính thức.
• Mọi biến đổi hoặc cập nhật sau này đối với chính sách cũng sẽ cần phải đi qua quy trình phê chuẩn tương
tự.
• Việc có quy trình phê chuẩn đảm bảo rằng chính sách được đánh giá và chấp thuận bởi các bên có thẩm
quyền, từ đó đảm bảo tính hiệu lực và tuân thủ trong thực tế hoạt động của doanh nghiệp.

10. Tài liệu tham chiếu:
 ISO 27001:2013 - Tiêu chuẩn Quản lý An ninh Thông tin.
 Luật Bảo vệ Dữ liệu Cá nhân.
 Chính sách An ninh Thông tin của công ty.

CHƯƠNG 3: TRIỂN KHAI VÀ ĐÁNH GIÁ HIỆU
QUẢ CỦA CHÍNH SÁCH ĐÃ XÂY DỰNG
1. Quy trình triển khai:
- Tạo nền tảng công nghệ: cung cấp CN và công cụ; mã hóa dữ liệu; giám sát hệ thống.
- Thiết lập qui trình: xây dựng qui trình làm việc; quản lí sự cố; kiểm tra tuân thủ.
- Theo dõi và đánh giá: theo dõi và thực thi CS; phát hiện sớm các vấn đề
- Phản hồi và cải thiện: điều chỉnh CS và qui trình; nâng cao hiệu quả bảo mật; đánh giá kế quả.
- Tăng cường hành động: phát triển kế hoạch; tang cường giáo dục và huấn luyện.
- Tạo năng lực: đầu tư và phát triển năng lực; hỗ trợ các bộ phận liên quan.
- Tạo tinh thần: xây dựng tinh thần tự giác; trách nhiệm cá nhân.
- Đo lường và đánh giá: đo lường sự tự giác; đánh giá hiệu quả.
- Thực hiện đánh giá rủi ro.
- Cập nhập chính sách.
- Tối ưu hóa hiệu quả.
Thực thi và triển
khai
Giám sát và đánh
giá
Tạo năng lực và
tinh thần
Đánh giá định kì

CHƯƠNG 3: TRIỂN KHAI VÀ ĐÁNH GIÁ HIỆU
QUẢ CỦA CHÍNH SÁCH ĐÃ XÂY DỰNG
2. Đánh giá hiệu quả của chính sách:
Đánh giá:
• Tổ chức và phân chia mục tiêu rõ ràng
• Phạm vi áp dụng rộng rãi
• Chú trọng đến đào tạo
• Cơ chế giám sát và phản hồi
Định hướng phát triển :
• Tăng cường đào tạo.
• Nâng cao ý thức về an ninh thông tin.
• Cải thiện cơ chết giám sát và phản hồi.
• Tối ưu hóa công nghệ và cơ sở hạ tầng.
• Mở rộng phạm vi và áp dụng qui mô lớn hơn.

15_Nghiên cứu và xây dựng chính sách phòng chống thất thoát dữ liệu cho hệ thống ERP doanh nghiệp.pptx

�ݺ�ߣ

15_Nghiên cứu và xây dựng chính sách phòng chống thất thoát dữ liệu cho hệ thống ERP doanh nghiệp.pptx

Recommended

More Related Content

What's hot (20)

Similar to 15_Nghiên cứu và xây dựng chính sách phòng chống thất thoát dữ liệu cho hệ thống ERP doanh nghiệp.pptx (20)

15_Nghiên cứu và xây dựng chính sách phòng chống thất thoát dữ liệu cho hệ thống ERP doanh nghiệp.pptx