ĐẠI HỌC QUỐC GIA HÀ NỘI
TRƯỜNG ĐẠI HỌC CÔNG NGHỆ
----------
Đỗ Hồng Giang
Nghiên cứu phát triển dịch vụ quản lý quy trình nghiệp vụ
đánh giá, quản lý rủi ro an toàn thông tin
LUẬN VĂN THẠC SỸ
Ngành: Hệ thống thông tin
HÀ NỘI – 10/2021
ĐẠI HỌC QUỐC GIA HÀ NỘI
TRƯỜNG ĐẠI HỌC CÔNG NGHỆ
----------
Đỗ Hồng Giang
Nghiên cứu phát triển dịch vụ quản lý quy trình nghiệp vụ
đánh giá, quản lý rủi ro an toàn thông tin
LUẬN VĂN THẠC SỸ
Ngành: Hệ thống thông tin
Cán bộ hướng dẫn: TS. Phùng Văn Ổn
HÀ NỘI - 10/2021
1
LỜI CAM ĐOAN
Tôi cam đoan bài luận văn là toàn bộ kết quả quá trình nghiên cứu của cá nhân tôi. Quá
trình xây dựng nội dung của luận văn này tôi đã dựa vào thành quả nghiên cứu và có tham khảo
và dùng các tài liệu, thông tin thu thập được trên những trang tạp chí và các trang web theo
danh mục tài liệu tham khảo. Tất cả tài liệu tham khảo cho luận văn được liệt kê có xuất xứ rõ
ràng, công khai và được trích dẫn hợp pháp.
Tôi sẽ hoàn toàn chịu trách nhiệm, các hình thức kỷ luật theo quy định về lời cam đoan
của mình cho luận văn này.
Hà Nội, tháng 10/2021
Tác giả luận văn
Đỗ Hồng Giang
2
LỜI CẢM ƠN
Học viên xin chân thành cảm ơn các Thầy Cô Khoa Công nghệ thông tin, các Anh Chị
cán bộ Phòng Đào tạo Sau đại học Trường Đại học Công nghệ - Đại học Quốc gia Hà Nội đã
tạo điều kiện thuận lợi cho tôi trong thời gian học tập tại Trường và nghiên cứu luận văn.
Học viên xin chân thành cảm ơn Tiến sỹ Phùng Văn Ổn, thầy là người đã trực tiếp và
luôn tận tình hướng dẫn, định hướng nghiên cứu cho luận văn, luôn tạo động lực cho học viên
cố gắng hoàn thành luận văn.
Tôi chân thành cảm ơn các anh chị quản lý, đồng nghiệp và gia đình đã luôn khuyến
khích, sát cánh và tạo điều kiện giúp học viên có thời gian học tập và nghiên cứu để tôi có được
kết quả như ngày hôm nay.
Tác giả luận văn
Đỗ Hồng Giang
3
Mục lục
LỜI CAM ĐOAN ..................................................................................................................... 1
LỜI CẢM ƠN ........................................................................................................................... 2
Mục lục ...................................................................................................................................... 3
Danh mục từ viết tắt ................................................................................................................. 5
Danh mục hình vẽ ..................................................................................................................... 6
MỞ ĐẦU .................................................................................................................................... 8
Chương 1. Nghiên cứu một số tiêu chuẩn, quy trình quản lý, đánh giá rủi ro an toàn
thông tin 9
1.1 Nghiên cứu tiêu chuẩn quản lý, đánh giá rủi ro an toàn thông tin ISO/IEC 27005:2011 . 9
1.1.1. Khái quát ............................................................................................................. 9
1.1.2. Thiết lập bối cảnh ............................................................................................. 10
1.1.3. Đánh giá rủi ro an toàn thông tin .................................................................... 14
1.1.4. Xử lý rủi ro an toàn thông tin .......................................................................... 23
1.2 Nghiên cứu tiêu chuẩn quản lý, đánh giá rủi ro an toàn thông tin NIST SP 800-39r1 ... 25
Chương 2. Nghiên cứu một số phương pháp, kỹ thuật đánh giá rủi ro an toàn thông tin
30
2.1. Phương pháp đánh giá rủi ro an toàn thông tin CVSS ............................................... 30
2.1.1. Giới thiệu ........................................................................................................... 30
2.1.2. Số liệu Cơ sở (Base Metrics) ............................................................................ 32
2.1.3. Số liệu Tạm thời ................................................................................................ 37
2.1.4. Số liệu Môi trường ............................................................................................ 39
2.1.5. Thang đánh giá mức độ nghiêm trọng định tính ........................................... 41
2.1.6. Thuật toán tính CVSS v3.1 .............................................................................. 43
2.2. Phương pháp đánh giá rủi ro an toàn thông tin OWASP ........................................... 46
2.2.1. Tiếp cận ............................................................................................................. 46
Chương 3. Xây dựng dịch vụ quản lý quy trình nghiệp vụ đánh giá, quản lý rủi ro an
toàn thông tin .......................................................................................................................... 54
3.1. Các yêu cầu và công cụ phát triển ............................................................................. 54
3.2. Đề xuất. ...................................................................................................................... 54
3.2.1. Đề xuất quy trình quản lý, đánh giá rủi ro cho các hệ thống thông tin .................. 54
3.2.1.1. Quy trình tổng thể dựa trên tiêu chuẩn ISO ........................................................ 54
3.2.1.2. Quy trình chi tiết ................................................................................................. 55
3.2.1.3. Thực hiện đánh giá ............................................................................................. 56
3.2.1.4. Xử lý rủi ro ......................................................................................................... 56
3.2.2. Đề xuất áp dụng phương pháp đánh giá, quản lý rủi ro an toàn hệ thống thông tin
57
3.2.2.1. Mục đích ............................................................................................................. 57
3.2.2.2. Cải tiến ................................................................................................................ 57
3.2.2.2.1. Cách đánh trọng số ............................................................................................. 57
