VietnamCredit: Định hình thành công doanh nghiệp từ Xây dựng chính sách bảo mật

VietnamCredit đã phải đối mặt với nhiều thách thức liên quan đến chính sách bảo mật, khiến quá trình làm việc cùng khách hàng cuối gặp nhiều khó khăn. CyStack, cùng giải pháp Xây dựng chính sách bảo mật, đã giúp VietnamCredit vượt qua trở ngại và chinh phục niềm tin của khách hàng.

Trong môi trường cạnh tranh khốc liệt của doanh nghiệp hiện nay, việc phân tích báo cáo tài chính trở thành một quy trình quan trọng. Những con số có khả năng giúp doanh nghiệp có cái nhìn rõ ràng hơn về hiệu suất kinh doanh, lợi nhuận và khả năng thanh toán, từ đó có cái nhìn rõ ràng hơn về tình hình tài chính của mình. Các chỉ số tài chính như tỷ suất lợi nhuận, đòn bẩy tài chính và khả năng sinh lời được sử dụng để đưa ra quyết định, xác định các rủi ro tiềm ẩn, hướng dẫn chiến lược, đầu tư và phát triển phù hợp. Ngoài ra, việc phân tích báo cáo tài chính còn giúp thu hút sự quan tâm từ nhà đầu tư, tuân thủ các quy định, đảm bảo sự minh bạch và trung thực của doanh nghiệp.

Khách hàng của chúng tôi, VietnamCredit, là một trong những nhà cung cấp hàng đầu trong lĩnh vực phân tích các báo cáo tín dụng của nhiều ngành khác nhau với cơ sở dữ liệu lên đến 1.740.000 doanh nghiệp SMEs đang hoạt động tại Việt Nam. Do sở hữu lượng lớn khách hàng chuyên nghiệp với những yêu cầu khắt khe ở nhiều khía cạnh, vấn đề chính sách bảo mật đối với VietnamCredit là một trở ngại lớn khi tìm kiếm những nhà đầu tư tiềm năng.

Trong quá trình làm việc với khách hàng cuối, VietnamCredit chưa thể thiết lập một quy trình đánh giá bảo mật đáng tin cậy. Mặc dù đã cố gắng hoàn thiện 21 hạng mục kiểm soát bảo mật theo yêu cầu (bao gồm chứng minh bằng các văn kiện quy trình - chính sách, báo cáo, đơn từ, ảnh chụp bằng chứng sẵn), song VietnamCredit vẫn gặp khó khăn trong việc giải quyết các chi tiết tồn đọng trong 17 hạng mục lớn chưa được xử lý đúng theo yêu cầu từ phía IT auditor.

Để hỗ trợ VietnamCredit khắc phục tình trạng này, CyStack đã đề xuất giải pháp Xây dựng chính sách bảo mật (Security Policy Development), bằng cách rà soát tài liệu và bằng chứng sẵn có, bổ sung các vấn đề còn tồn đọng chưa giải quyết trong bộ hồ sơ chứng minh của VietnamCredit.

Thời gian triển khai: Khoảng 2 tuần.

Trong đó, một số chính sách bảo mật phổ biến mà CyStack có thể hỗ trợ xây dựng bao gồm:

• Chính sách bảo mật thông tin: Nêu rõ cam kết của công ty trong việc bảo vệ thông tin nhạy cảm và thông tin mật, bao gồm các chỉ dẫn về phân loại dữ liệu, kiểm soát truy cập, mã hóa và quy trình xử lý dữ liệu.
• Chính sách bảo vệ dữ liệu: Tập trung vào việc bảo vệ dữ liệu nhạy cảm và bí mật, bao gồm các quy trình phân loại, mã hóa và xử lý dữ liệu.
• Chính sách bảo mật dữ liệu: Làm rõ vấn đề bảo mật thông tin cá nhân của khách hàng và nhân viên, đồng thời nêu rõ các biện pháp bảo vệ dữ liệu và quyền riêng tư. Chính sách này thường đề cập đến việc tuân thủ các quy định bảo vệ dữ liệu như GDPR, HIPAA hoặc CCPA.
• Chính sách sử dụng được chấp nhận (AUP): Chỉ ra cách sử dụng tài nguyên CNTT (máy tính, mạng và truy cập Internet) hợp lệ và không hợp lệ.
• Chính sách bảo mật vật lý: Nêu các biện pháp bảo vệ quyền truy cập vật lý vào các cơ sở, bao gồm kiểm soát vào ra, giám sát và quản lý khách mời.
• Chính sách quản lý tài sản vật chất: Đề cập đến việc theo dõi và quản lý tài sản vật chất, bao gồm phần cứng và thiết bị, để ngăn chặn hành vi trộm cắp và truy cập trái phép.
• Chính sách quản lý thiết bị di động (MDM): Quản lý tính bảo mật của các thiết bị di động được sử dụng cho công việc, bao gồm cả việc sử dụng ứng dụng di động và khả năng xóa từ xa.
• Chính sách tự chuẩn bị thiết bị (BYOD): Đề cập đến việc sử dụng an toàn các thiết bị cá nhân cho mục đích công việc, nêu rõ các yêu cầu và trách nhiệm về bảo mật.
• Chính sách phân loại thông tin: Phân loại dữ liệu dựa trên độ nhạy cảm và mức độ quan trọng, đồng thời xác định cách xử lý các loại dữ liệu khác nhau.
• Chính sách kiểm soát truy cập: Xác định các quy tắc cấp, thu hồi và giám sát quyền truy cập vào hệ thống thông tin và tài nguyên, bao gồm các chính sách mật khẩu, quản lý tài khoản người dùng và các quy tắc cấp và thu hồi đặc quyền truy cập.
• Chính sách mật khẩu: Thiết lập các quy tắc tạo, quản lý và lưu trữ mật khẩu để ngăn chặn truy cập trái phép.
• Chính sách sử dụng các phương tiện liên lạc và email: Đặt ra các nguyên tắc cho các biện pháp sử dụng các phương tiện liên lạc và và email an toàn để ngăn chặn lừa đảo, rò rỉ dữ liệu và phần mềm độc hại.
• Chính sách sử dụng Internet và mạng xã hội: Xác định việc sử dụng tài nguyên Internet và mạng xã hội phù hợp để giảm thiểu rủi ro bảo mật.
• Chính sách bảo mật mạng: Chỉ định các biện pháp bảo mật mạng, bao gồm cấu hình và quy tắc tường lửa, cách sử dụng VPN, phân đoạn mạng và phát hiện xâm nhập.
• Chính sách làm việc và liên lạc từ xa: Bao gồm các biện pháp bảo mật cho nhân viên làm việc từ xa và truy cập tài nguyên của công ty từ các địa điểm ngoài văn phòng.
• Chính sách giám sát hệ thống thông tin: Xác định cách tổ chức sẽ tiến hành kiểm tra và ghi nhật ký các hoạt động trong hệ thống và mạng CNTT. Các thành phần chính của chính sách kiểm tra có thể bao gồm trách nhiệm giải trình của người dùng và quản trị viên, danh mục kiểm tra, quy trình kiểm tra và giám sát.
• Chính sách quản lý thay đổi: Quản lý quá trình thực hiện các thay đổi đối với hệ thống CNTT, đảm bảo các thay đổi được thực hiện với lưu ý đến sự gián đoạn và bảo mật ở mức tối thiểu.
• Chính sách phát triển phần mềm và lập trình an toàn: Chỉ định các quy tắc lập trình an toàn trong phát triển phần mềm để ngăn chặn các lỗ hổng và hoạt động khai thác.
• Chính sách quản lý phần mềm và bản vá: Xác định cách mua, cập nhật và vá phần mềm để giải quyết các lỗ hổng và đảm bảo tính bảo mật của ứng dụng và hệ thống. Chính sách này cũng cần làm rõ các quy tắc cấm phòng chống đặt phần mềm trái phép.
• Chính sách mã hóa dữ liệu: Xác định thời điểm và cách thức mã hóa dữ liệu để bảo vệ dữ liệu khỏi các truy cập trái phép.
• Chính sách lưu giữ và hủy dữ liệu: Bao gồm thời gian lưu giữ dữ liệu và cách xử lý dữ liệu an toàn khi vòng đời dữ liệu kết thúc.
• Chính sách sao lưu: Chính sách này bao gồm các quy trình sao lưu dữ liệu và lưu trữ ngoại vi để đảm bảo hoạt động kinh doanh liên tục trong trường hợp mất dữ liệu.
• Chính sách ứng phó sự cố: Cung cấp các quy trình để xác định, báo cáo và ứng phó với các sự cố bảo mật, rò rỉ dữ liệu, tấn công mạng và các tình huống khẩn cấp. Chính sách làm rõ các vai trò và trách nhiệm, kế hoạch phương án liên lạc và thủ tục báo cáo.
• Chính sách kinh doanh liên tục và phục hồi sau thảm họa: Phác thảo chiến lược của tổ chức nhằm duy trì các hoạt động thiết yếu trong thời gian gián đoạn và xảy ra thảm họa.
• Chính sách bảo mật đám mây: Đề cập đến các biện pháp kiểm soát bảo mật, bảo vệ dữ liệu, tuân thủ và các trách nhiệm khác đối với dữ liệu và cơ sở hạ tầng điện toán đám mây, nếu công ty có sử dụng các dịch vụ này.
• Chính sách bảo mật đối với nhà cung cấp dịch vụ và bên thứ ba: Chỉ định các yêu cầu bảo mật đối với nhà cung cấp dịch vụ, nhà thầu và đối tác bên thứ ba cần quyền truy cập vào hệ thống và dữ liệu của tổ chức.
• Chính sách đánh giá bảo mật của nhà cung cấp: Trình bày chi tiết quy trình đánh giá các biện pháp và sản phẩm bảo mật của nhà cung cấp bên thứ ba.
• Chính sách tuân thủ quy định: Đảm bảo tuân thủ các luật liên quan, các quy định cụ thể của ngành và các yêu cầu tuân thủ, chẳng hạn như GDPR, HIPAA hoặc Sarbanes-Oxley (SOX).
• Chính sách đào tạo và nâng cao nhận thức cho nhân viên: Thiết lập yêu cầu về các chương trình đào tạo và nâng cao nhận thức bảo mật cho nhân viên với nội dung về các chính sách và các biện pháp bảo mật tốt nhất.

Khi tiến hành xây dựng chính sách bảo mật, CyStack bám sát theo các tiêu chuẩn ngành và đa dạng các phương pháp tốt nhất để xây dựng khung chính sách bảo mật và các chính sách tương ứng. Các tiêu chuẩn và quy định cụ thể mà các chính sách bảo mật cần tuân thủ có thể tùy thuộc vào nhu cầu và yêu cầu của khách hàng của CyStack, cũng như ngành hoặc môi trường pháp lý nơi hoạt động. Một số tiêu chuẩn ngành phổ biến có thể được tham khảo bao gồm:

• ISO/IEC 27001: Tiêu chuẩn quốc tế về hệ thống quản lý bảo mật thông tin (ISMS), cung cấp khuôn mẫu để thiết lập, triển khai, duy trì và liên tục cải thiện bảo mật thông tin.
• ISO/IEC 27002: Cung cấp các hướng dẫn và phương pháp tốt nhất để triển khai các biện pháp kiểm soát bảo mật, bổ sung cho ISO/IEC 27001.
• Tiêu chuẩn bảo mật dữ liệu ngành thẻ thanh toán (PCI DSS): Bắt buộc đối với các doanh nghiệp xử lý dữ liệu thẻ tín dụng, PCI DSS đưa ra các yêu cầu bảo mật để bảo vệ dữ liệu của chủ thẻ.
• Khung an ninh mạng NIST: Được phát triển bởi Viện Tiêu chuẩn và Công nghệ Quốc gia Hoa Kỳ (NIST), khung này đưa ra các hướng dẫn và phương pháp thực hành tốt nhất để quản lý và giảm thiểu rủi ro an ninh mạng.
• Bộ Ấn phẩm Đặc biệt 800 (SP 800) của NIST: Được phát triển bởi NIST, những tài liệu này cung cấp các hướng dẫn, phương pháp tốt nhất và đề xuất cho các khía cạnh khác nhau về bảo mật thông tin, an ninh mạng và quản lý công nghệ thông tin. Một số ấn phẩm được tham khảo phổ biến nhất bao gồm NIST SP 800-53 “Kiểm soát bảo mật và quyền riêng tư cho hệ thống thông tin và các tổ chức”, NIST SP 800-30 “Hướng dẫn tiến hành đánh giá rủi ro”, NIST SP 800-61 “Hướng dẫn xử lý sự cố bảo mật máy tính” và NIST SP 800-115 “Hướng dẫn kỹ thuật về kiểm tra và đánh giá bảo mật thông tin”.
• Bộ Kiểm soát bảo mật (Critical Security Controls) của Trung tâm An ninh Internet (CIS): Một bộ các giải pháp ưu tiên nhằm tăng cường an ninh mạng, giúp các tổ chức giải quyết các vấn đề bảo mật cơ bản.
• Mục tiêu kiểm soát đối với thông tin và công nghệ liên quan (COBIT): Một khuôn khổ để quản trị và quản lý CNTT của doanh nghiệp, đảm bảo sự phù hợp với các mục tiêu kinh doanh và các yêu cầu tuân thủ.
• Ma trận kiểm soát đám mây CSA (CCM): Một khuôn khổ cung cấp tiêu chuẩn chi tiết, được ngành chấp nhận để kiểm soát bảo mật và điểm chuẩn nhằm đánh giá tình hình bảo mật và tuân thủ của các nhà cung cấp dịch vụ đám mây, phù hợp với nhiều quy định, tiêu chuẩn và khuôn khổ toàn cầu.

Bên cạnh việc sử dụng các tiêu chuẩn ngành, CyStack chú trọng xem xét các quy định mà công ty phải tuân thủ. Ngoài ra, dịch vụ xây dựng chính sách bảo mật cũng được điều chỉnh sao cho phù hợp với các mục tiêu và mục tiêu cụ thể của tổ chức. Một số quy định chung có thể được yêu cầu đối với các khách hàng cụ thể bao gồm:

• Luật An ninh mạng số 24/2018/QH14 của Việt Nam ngày 12 tháng 6 năm 2018 (Luật An ninh mạng Việt Nam): Quy định bảo vệ an ninh quốc gia và trật tự công cộng trên không gian mạng; trách nhiệm của các tổ chức, cá nhân có liên quan.
• Nghị định số 13/2023/NĐ-CP về Bảo vệ dữ liệu cá nhân của Việt Nam ngày 17 tháng 4 năm 2023 (Nghị định 13): Quy định về bảo vệ dữ liệu cá nhân và trách nhiệm của các cơ quan, tổ chức, cá nhân liên quan trong việc bảo vệ dữ liệu cá nhân. Nghị định áp dụng đối với các cơ quan, tổ chức, cá nhân Việt Nam và nước ngoài trực tiếp xử lý hoặc liên quan đến việc xử lý dữ liệu cá nhân tại Việt Nam.
• Quy định chung về bảo vệ dữ liệu (GDPR): Áp dụng cho các công ty xử lý dữ liệu cá nhân của công dân Liên minh Châu Âu (EU), GDPR đặt ra các tiêu chuẩn nghiêm ngặt về quyền riêng tư và bảo vệ dữ liệu.
• Đạo luật về quyền riêng tư của người tiêu dùng California (CCPA): Thực thi quyền riêng tư và bảo vệ dữ liệu cho cư dân California, tác động đến các tổ chức thu thập và xử lý dữ liệu của họ.
• Đạo luật về quyền riêng tư của California (CPRA): Mở rộng trên CCPA, đưa ra các biện pháp bảo vệ và quyền riêng tư bổ sung cho cư dân California.
• Đạo luật về trách nhiệm giải trình và cung cấp thông tin bảo hiểm y tế (HIPAA): Bắt buộc đối với các tổ chức chăm sóc sức khỏe tại Hoa Kỳ, HIPAA tập trung vào việc bảo vệ quyền riêng tư và bảo mật thông tin sức khỏe của bệnh nhân.
• Đạo luật Sarbanes-Oxley (SOX): Được thi hành đối với các công ty đại chúng ở Hoa Kỳ, SOX thiết lập các yêu cầu về báo cáo tài chính và kiểm soát nội bộ để ngăn chặn gian lận và bảo vệ cổ đông.
• Đạo luật Gramm-Leach-Bliley (GLBA): Yêu cầu các tổ chức tài chính bảo vệ thông tin tài chính và quyền riêng tư của người tiêu dùng.
• Đạo luật quản lý bảo mật thông tin liên bang (FISMA): Quản lý các biện pháp bảo mật thông tin trong chính phủ liên bang Hoa Kỳ và các nhà thầu của chính phủ đó.
• Đạo luật bản quyền thiên niên kỷ kỹ thuật số (DMCA): Luật bản quyền của Hoa Kỳ nhằm giải quyết các vấn đề khác nhau liên quan đến nội dung kỹ thuật số, bảo vệ bản quyền và nhà cung cấp dịch vụ trực tuyến.

Với nhiều năm kinh nghiệm cùng hiểu biết sâu sắc về các tiêu chuẩn và điều luật bảo mật cũng thực trạng các mối đe doạ mới nhất trong ngành, đội ngũ chuyên gia CyStack đã tái cấu trúc chính sách bảo mật sẵn có của VietnamCredit với quy trình làm việc gồm các bước sau:

Bước 1: Khởi tạo và lên kế hoạch

• Tiếp nhận và trao đổi về những vấn đề mà VietnamCredit cần giải quyết để hiểu rõ nhu cầu và các yêu cầu bắt buộc nhằm xác định mục tiêu, phân bổ tài nguyên và lên bản kế hoạch dự án một cách phù hợp
• Thiết lập và thống nhất hình thức truyền tải thông tin chung (qua Telegram, email).

Bước 2: Đánh giá rủi ro

• Tiếp nhận hồ sơ từ VietnamCredit bao gồm: Tài liệu chi tiết về kết quả đánh giá và yêu cầu bổ sung từ phía Auditor; tập các tài liệu và bằng chứng đang bị đánh giá không đúng, chất lượng kém hoặc thiếu sót
• Phân tích mối đe doạ, mức độ ảnh hưởng, thống kê và sắp xếp mức độ ưu tiên cho các rủi ro đã xác định.

Bước 3: Thiết kế bộ khung chính sách

• Định nghĩa phạm vi và cấu trúc của chính sách, tham chiếu theo các điều luật và quy định hiện hành
• Nghiên cứu, đối chiếu với bộ hồ sơ đã nhận được từ phía VietnamCredit.

Bước 4: Xây dựng chính sách

Sau khi nghiên cứu và đối chiếu, tiến hành đưa ra các chỉnh sửa, bổ sung phù hợp, bao gồm chỉ rõ nhân sự chịu trách nhiệm thi hành và giám sát tuân thủ. Các hướng dẫn và thủ tục trong mỗi chính sách cần được trình bày dễ hiểu và rõ ràng.

Bước 5: Đánh giá chính sách

Đảm bảo các chính sách thống nhất, không tối nghĩa, phù hợp với các mục tiêu đề ra của doanh nghiệp. Nếu cần thiết, các chính sách có thể được đánh giá thêm bởi bộ phận pháp lý của khách hàng.

Bước 6: Thực thi chính sách

• Gửi lại các tài liệu chỉnh lý để VietnamCredit tiếp tục làm việc với IT auditor
• Hướng dẫn soạn thảo các mẫu đơn chưa có, chỉnh lý lại các tài liệu chính sách và tư vấn phương pháp chứng minh các vấn đề thực hành bảo mật.

Bước 7: Hỗ trợ liên tục

• Liên tục trao đổi, bổ sung nếu IT auditor chưa công nhận các kết quả ở khâu trên
• Quá trình chỉnh lý và bổ sung kết thúc khi VietnamCredit được IT auditor xác nhận hoàn thiện đầy đủ yêu cầu cho bộ khung bảo mật tiêu chuẩn
• Bàn giao lại toàn bộ tài liệu cho VietnamCredit.

*Bước 4 và 5 sẽ lặp lại cho đến khi đạt đủ yêu cầu.

Xuyên suốt tháng 9 năm 2023 chúng tôi đã chỉnh lý gần như tất cả các tài liệu được duyệt và điều chỉnh sau tư vấn và khâu kiểm duyệt nội bộ.

Các đề mục đã được thực hiện tư vấn đánh giá bao gồm:

• Quản trị (Governance)
• Quản lý rủi ro (Risk Management)
• An ninh nhân sự (Personnel Security)
• Quản lý tài sản thông tin (Information Asset Management)
• Quản lý danh tính và quyền truy cập (Identity and Access Management)
• Các thuật toán mật mã (Cryptography)
• Kết nối truy cập từ xa (Remote Access Connection)
• Bảo mật đám mây (Cloud Security)
• Quản trị sự thay đổi (Change Management)
• Bảo mật điểm cuối (Endpoint Security)
• Bảo mật mạng (Network Security)
• Quản lý lỗ hổng bảo mật (Vulnerability Management)
• Giám sát bảo vệ (Protective Monitoring)
• Bảo mật vật lý (Physical Security)
• Kế hoạch đảm bảo tính liên tục trong kinh doanh và phục hồi sau thảm hoạ (Business Continuity and Disaster Recovery)
• Quản lý rủi ro bên thứ ba (Third-party Risk Management).