Tuy nhiên, để xây dựng hệ thống ATTT theo tiêu chuẩn quốc tế đòi hỏi chi phí lớn, vượt quá khả năng tài chính và nhân lực của nhiều đơn vị, tổ chức, đặc biệt là ở một số nước đang phát triển như Việt Nam. Nhằm khắc phục khó khăn này Sở KH&CN Đồng Nai đã xây dựng công cụ hỗ trợ quản lý chất lượng ATTT (Assistant Tool Managing The Quality of Information Security – ATMQIS) nhằm giúp các cơ quan nhà nước, các doanh nghiệp vừa và nhỏ có cơ hội tiếp cận hệ thống ATTT theo tiêu chuẩn quốc tế với chi phí thấp. ATMQIS được xây dựng dựa trên các tiêu chuẩn quốc tế về ATTT ISO/IEC 27001 nhằm tạo ra một mắt xích liên kết hai yếu tố công nghệ và con người. ATMQIS được tổ chức theo mô hình kim tự tháp với 3 lớp, trong đó:
- Lớp thứ nhất (đỉnh kim tự tháp) mô tả các chính sách được áp dụng trong tổ chức. Trong một tổ chức có nhiều bộ phận, từng bộ phận lại có chức năng nhiệm vụ, tính chất, cách tổ chức thông tin, trình độ nhận thức về ATTT chênh lệch. Chính vì vậy khi thiết lập các chính sách, ATMQIS giúp xác định rõ mục đích của chính sách sẽ được thiết lập, đối tượng thực thi, phạm vi tác động…
- Lớp thứ hai mô tả các quy tắc quy định thực thi các chính sách. Hệ thống các quy tắc ATTT được thể hiện trên 10 lĩnh vực lớn, bao hàm các quy định từ tổ chức, con người, an ninh vật lý đến các công cụ kỹ thuật ATTT. Các quy tắc được xây dựng trên mô hình công nghệ thông tin chuẩn của tổ chức và thể hiện được tính đặc thù của tổ chức đó. Thông qua việc thực thi các quy tắc, có thể đánh giá chất lượng ATTT của một tổ chức thông qua kiểm toán (Audit).
- Lớp thứ ba (lớp cuối cùng của mô hình). Đây là các quy trình, giải pháp hỗ trợ thực thi các quy tắc, quy định trên. Các quy trình này có thể liên quan đến nhiều chính sách và đối tượng sử dụng khác nhau.
ATMQIS gồm 3 module chính: Quản lý chính sách, quản lý nhận thức và quản lý hệ thống. Trong đó quản lý nhận thức (dùng cho Admin và Super User) có 4 module con:
- “Quản lý đề kiểm tra”: Cho phép Admin tạo mới, hiệu chỉnh hoặc xóa để kiểm tra dành cho nhân viên từng bộ phận trực thuộc cơ quan (end User). Ngoài ra, Admin còn có thể đưa một đề kiểm tra bất kỳ vào sử dụng và kết thúc quá trình sử dụng bất cứ lúc nào, ở bất kỳ bộ phận nào.
- “Quản lý bài học cơ bản”: Cho phép Admin tạo mới, hiệu chỉnh hoặc xóa câu hỏi về kiến thức cơ bản do Admin hoặc Super User tạo ra.
- “Kiểm tra nhận thức” (dành cho End User): Công cụ giúp nhân viên trong toàn cơ quan cập nhật những kiến thức cơ bản về ISO 17799, kiến thức tổng quát về ATTT và tra cứu thông tin về chính sách ATTT đang được áp dụng trong bộ phận mình trực thuộc.
ATMQIS thể hiện bằng 2 ngôn ngữ (Việt và Anh) trợ giúp cho việc thiết lập, quản lý, vận hành và đánh giá mức độ thực thi chính sách ATTT trong tổ chức, phù hợp với điều kiện thực tế mang lại hiệu quả cao, cụ thể:
- Phân tích hệ tiêu chuẩn ISO 17799:2005.
- Xây dựng bộ chính sách mẫu phù hợp với điều kiện thực tế Việt Nam và khả năng áp dụng thực tế của tổ chức.
- Cho phép nhà quản lý (quản trị ATTT) điều chỉnh, thiết lập bộ chính sách ATTT phù hợp với từng đơn vị mình quản lý.
- Cho phép nhân viên tiếp cận các chính sách ATTT và có trách nhiệm thực thi các quy định trong chính sách ATTT của đơn vị mình.
- Cho phép các nhà quản lý kiểm tra nhận thức và đánh giá việc thực thi chính sách ATTT trong đơn vị thông qua các bài kiểm tra kiến thức.
- Cán bộ, nhân viên trong cơ quan có thể tự học tập, nâng cao kiến thức tổng quát về ATTT thông qua các giáo trình dựng sẵn.
Chi tiết xin liên hệ: Tác giả công trình TS. Phạm Văieọt nam Sáng – Sở Khoa học và Công nghệ Đồng Nai: 260 Quốc lộ 15, thành phố Biên Hòa, Đồng Nai, Tel: 0613.823447; 0903803384; E-Mail: pvs10206@hcm.vnn.vn
