Bài giảng Cơ sở an toàn thông tin

bảo vệ quyền sở hữu trí tuệ (Agreement on Trade-Related Aspects of 
Intellectual Property Rights (TRIPS)): do Tổ chức Thƣơng mại thế giới WTO chủ trì 
đàm phán trong giai đoạn 1986–1994; 
- Digital Millennium Copyright Act (DMCA): Luật bản quyền số Thiên niên kỷ. 
6.3.3. Luật Việt Nam về an toàn thông tin 
Luật an toàn thông tin mạng đƣợc Quốc hội thông qua vào tháng 11 năm 2015 và chính 
thức có hiệu lực từ ngày 1/7/2016. Đây là cơ sở pháp lý quan trọng cho việc quản lý các hoạt 
động liên quan đến an toàn thông tin ở Việt Nam. Ngoài Luật an toàn thông tin mạng, đã có 
nhiều văn bản có liên quan đến công nghệ thông tin và an toàn thông tin đƣợc Quốc Hội, 
Chính Phủ và các cơ quan nhà nƣớc ban hành nhƣ: 
- Luật công nghệ thông tin số 67/2006/QH11 của Quốc hội, ngày 12/07/2006. 
- Nghị định số 90/2008/NÐ-CP của Chính Phủ "Về chống thƣ rác", ngày 13/08/2008. 
- Quyết định số 59/2008/QÐ-BTTTT của Bộ Thông tin và Truyền thông "Ban hành 
Danh mục tiêu chuẩn bắt buộc áp dụng về chữ ký số và dịch vụ chứng thực chữ ký số", 
ngày 31/12/2008. 
PT
IT
Bài giảng Cơ sở an toàn thông tin Chương 5. Quản lý, chính sách & pháp luật ATTT 
- 130 - 
- Quyết định 63/QÐ-TTg của Thủ tƣớng CP "Phê duyệt Quy hoạch phát triển an toàn 
thông tin số quốc gia đến năm 2020", ngày 13/01/2010. 
- Chỉ thị số 897/CT-TTg của Thủ tƣớng CP "V/v tăng cƣờng triển khai các hoạt động 
đảm bảo an toàn thông tin số", 10/06/2011. 
- Thông tƣ số 23/2011/TT-BTTTT của Bộ TT&TT "Quy định về việc quản lý, vận hành, 
sử dụng và bảo đảm an toàn thông tin trên Mạng truyền số liệu chuyên dùng của các cơ 
quan Đảng, Nhà nƣớc", ngày 11/08/2011. 
- Nghị định số 77/2012/NĐ-CP của Chính Phủ "Sửa đổi, bổ sung một số điều của Nghị 
định số 90/2008/NĐ-CP ngày 13 tháng 8 năm 2008 của Chính phủ về chống thƣ rác", 
ngày 05/10/2012. 
- Nghị định 72/2013/NĐ-CP của Chính Phủ về Quản lý, cung cấp, sử dụng dịch vụ 
internet và thông tin trên mạng; quy định về việc chia sẻ thông tin trên các trang mạng 
xã hội. 
6.4. VẤN ĐỀ ĐẠO ĐỨC AN TOÀN THÔNG TIN 
6.4.1. Sự cần thiết của đạo đức an toàn thông tin 
Vấn đề đạo đức nghề nghiệp (Professional ethics) hay quy tắc ứng xử (Code of conduct) 
đƣợc đề cập trong ngành công nghệ thông tin nói chung và an toàn thông tin nói riêng do các 
công việc liên quan đến an toàn thông tin có thể liên quan đến các thông tin nhạy cảm, nhƣ 
thông tin, hệ thống bí mật quốc gia, thông tin bí mật của các cơ quan, tổ chức, hoặc bí mật 
công nghệ, bí mật kinh doanh của các công ty. Nếu các thông tin nhạy cảm bị rò rỉ, hoặc bị 
đánh cắp và lạm dụng có thể ảnh hƣởng nghiêm trọng đến an ninh quốc gia, hoặc ảnh hƣởng 
xấu đến các cơ quan, tổ chức và ngƣời dùng. Do vậy, ngƣời làm trong lĩnh vực an toàn thông 
tin cần có hiểu biết về chính sách, pháp luật và có thái độ và hành động đúng đắn trong khi 
thực thi nhiệm vụ. 
6.4.2. Một số bộ quy tắc ứng xử trong CNTT và ATTT 
Nhiều tổ chức xã hội nghề nghiệp đã ban hành các quy tắc ứng xử bắt buộc tại nơi làm 
việc, nhƣ với luật sƣ, bác sỹ. Nếu vi phạm nghiêm trọng các quy tắc ứng xử tại nơi làm việc 
có thể bị cấm hành nghề có thời hạn, hoặc vĩnh viễn. Trong lĩnh vực công nghệ thông tin và 
an toàn thông tin, hiện không có bộ quy tắc ứng xử bắt buộc. Một số tổ chức xã hội nghề 
nghiệp nhƣ ACM (Association for Computing Machinery) và ISSA (Information Systems 
Security Association) hợp tác để đề ra các quy tắc ứng xử trong an toàn thông tin. Tuy nhiên, 
các quy tắc ứng xử trong an toàn thông tin chỉ có tính khuyến nghị do các tổ chức trên không 
có thẩm quyền buộc phải thực hiện. 
Hiệp hội an toàn thông tin Việt Nam đã công bố Bộ Qui tắc ứng xử an toàn thông tin vào 
đầu năm 2015, đƣa ra một số quy tắc và khuyến nghị về những việc không đƣợc làm cho các 
thành viên và các nhân viên của các tổ chức hoạt động trong lĩnh vực an toàn thông tin. 
Viện đạo đức máy tính (Mỹ) đƣa ra Bộ Quy tắc ứng xử 10 điểm (Ten Commandments of 
Computer Ethics) nhƣ sau: 
1. Không đƣợc sử dụng máy tính để gây hại cho ngƣời khác; 
PT
IT
Bài giảng Cơ sở an toàn thông tin Chương 5. Quản lý, chính sách & pháp luật ATTT 
- 131 - 
2. Không đƣợc can thiệp vào công việc của ngƣời khác trên máy tính; 
3. Không trộm cắp các file trên máy tính của ngƣời khác; 
4. Không đƣợc sử dụng máy tính để trộm cắp; 
5. Không đƣợc sử dụng máy tính để tạo bằng chứng giả; 
6. Không sao chép hoặc sử dụng phần mềm không có bản quyền; 
7. Không sử dụng các tài nguyên máy tính của ngƣời khác khi không đƣợc phép hoặc 
không có bồi thƣờng thỏa đáng; 
8. Không chiếm đoạn tài sản trí tuệ của ngƣời khác; 
9. Nên suy nghĩ về các hậu quả xã hội của chƣơng trình mình đang xây dựng hoặc hệ 
thống đang thiết kế; 
10. Nên sử dụng máy tính một cách có trách nhiệm, đảm bảo sự quan tâm và tôn trọng đến 
đồng bào của mình. 
6.4.3. Một số vấn đề khác 
Liên quan đến vấn đề đạo đức trong an toàn thông tin, có một số vấn đề khác cần lƣu ý là 
(1) sự khác biệt về vấn đề đạo đức giữa các nền văn hóa, (2) vấn đề vi phạm bản quyền phần 
mềm và (3) vấn đề lạm dụng các tài nguyên của cơ quan, tổ chức. 
Trên thực tế, có sự khác biệt khá lớn về vấn đề đạo đức giữa các nền văn hóa. Trong đó, 
nhận thức về vấn đề đạo đức trong sử dụng các tài nguyên của cơ quan, tổ chức là rất khác 
biệt giữa các quốc gia có nền văn hóa khác nhau. Trong nhiều trong hợp, một hành vi đƣợc 
phép của một số cá nhân trong một quốc gia lại vi phạm quy tắc đạo đức của quốc gia khác. 
Chẳng hạn, hành vi tiết lộ thông tin cá nhân và đặc biệt là mức thu nhập của ngƣời khác đƣợc 
coi là bình thƣờng ở Việt Nam, nhƣng đây là hành vi vi phạm quyền riêng tƣ ở các nƣớc phát 
triển nhƣ Mỹ và châu Âu. 
Vấn đề vi phạm bản quyền phần mềm là rất nghiêm trọng, đặc biệt là ở các nƣớc đang 
phát triển ở châu Á và châu Phi. Đa số ngƣời dùng có hiểu biết về vấn đề bản quyền phần 
mềm, nhƣng coi việc sử dụng phần mềm bất hợp pháp là bình thƣờng vì nhiều nƣớc chƣa có 
quy định hoặc không xử lý nghiêm vi phạm. Tỷ lệ vi phạm bản quyền phần mềm ở Việt Nam 
hiện rất cao, đến khoảng 90% do thiếu các chế tài xử lý vi phạm. 
Vấn đề lạm dụng các tài nguyên của công ty, tổ chức xảy ra tƣơng đối phổ biến và cần có 
các quy định và chế tài để kiểm soát. Một số cơ quan, tổ chức chƣa có các quy định cấm nhân 
viên sử dụng các tài nguyên của cơ quan, tổ chức vào việc riêng. Một số đơn vị khác có quy 
định nhƣng chƣa đƣợc thực thi chặt chẽ và chƣa có chế tài xử phạt nghiêm minh. Các hành vi 
lạm dụng thƣờng gặp, gồm: 
- In ấn tài liệu riêng; 
- Sử dụng email cá nhân cho việc riêng; 
- Tải các tài liệu, file không đƣợc phép; 
- Cài đặt và chạy các chƣơng trình, phần mềm không đƣợc phép; 
- Sử dụng máy tính công ty làm việc riêng; 
PT
IT
Bài giảng Cơ sở an toàn thông tin Chương 5. Quản lý, chính sách & pháp luật ATTT 
- 132 - 
- Sử dụng các phƣơng tiện làm việc khác nhƣ điện thoại công ty quá mức vào việc riêng. 
6.5. CÂU HỎI ÔN TẬP 
1) Nêu khái niệm tài sản an toàn thông tin, khái niệm quản lý an toàn thông tin. Nêu vai trò 
và các khâu cần thực hiện của quản lý an toàn thông tin. 
2) Đánh giá rủi ro an toàn thông tin là gì? Mô tả vắn tắt các phƣơng pháp tiếp cận đánh giá 
rủi ro an toàn thông tin. 
3) Mô tả vắn tắt các bƣớc của phân tích chi tiết rủi ro an toàn thông tin. 
4) Mô tả các loại kiểm soát trong thực thi quản lý an toàn thông tin. 
5) Mô tả nội dung thực thi quản lý an toàn thông tin. 
6) Mô tả vắn tắt các chuẩn ISO/IEC 27000, ISO/IEC 27001, ISO/IEC 27002 và ISO/IEC 
27005. 
7) Mô tả chu trình Plan-Do-Check-Act của chuẩn ISO/IEC 27001. 
8) Phân biệt pháp luật và chính sách. Nêu các yêu cầu của chính sách có thể đƣợc áp dụng 
hiệu quả. 
9) Mô tả vắn tắt các văn bản luật có liên quan đến an toàn thông tin của Việt Nam. 
10) Nêu sự cần thiết của vấn đề đạo đức an toàn thông tin. Nêu bộ qui tắc ứng xử của Viện 
đạo đức máy tính (Mỹ). 
PT
IT
Bài giảng Cơ sở an toàn thông tin Tài liệu tham khảo 
- 133 - 
TÀI LIỆU THAM KHẢO 
[1] Michael E. Whitman, Herbert J. Mattord, Principles of information security, 4th edition, 
Course Technology, Cengage Learning, 2012. 
[2] David Kim, Michael G. Solomon, Fundamentals of Information Systems Security, Jones & 
Bartlettlearning, 2012. 
[3] Forbes.com, Internet Of Things On Pace To Replace Mobile Phones As Most Connected 
Device In 2018, 
things-on-pace-to-replace-mobile-phones-as-most-connected-device-in-2018/, accessed 
Sep 2016. 
[4] US Government Accountability Office, Cyber Threats and Data Breaches Illustrate Need 
for Stronger Controls across Federal Agencies, Available online at 
 accessed Sep 2016. 
[5] Tập đoàn Bkav, Tổng kết an ninh mạng 2015 và dự báo xu hƣớng 2016, 
nam-2015-va-du-bao-xu-huong-2016, truy nhập tháng 9.2016. 
[6] US National Vulnerability Database, https://nvd.nist.gov, accessed Sep 2016. 
[7] Boni, W. C., & Kovacich, G. L. (1999). I-way robbery: crime on the Internet, Boston MA: 
Butterworth. 
[8] Butler, J. G. (1998). Contingency planning and disaster recovery: protecting your 
organisation's resources. New York: Computer Tech Research. 
[9] Denning D. E. (1999). Information warfare and security, New York. Addison-Wesley. 
[10] Erbschloe, M. & Vacca, J. R. (2001). Information warfare. New York: McGraw-Hill. 
[11] Ghosh, A. (1998). E-Commerce security – weak links, best defenses. New york: Wiley 
Computer Publishing. 
[12] Hutchinson, W. & Warren, M. (2001). Information warfare: corporate attack and 
defence in the digital age. Oxford: Butterworth-Heinneman. 
[13] Alfred J. Menezes, Paul C. van Oorschot and Scott A. Vanstone, Handbook of Applied 
Cryptography, CRC Press, Fifth Printing, August 2001. 
[14] Bruce Schneier, Applied Cryptography, 2nd edition, John Wiley & Sons, 1996. 
[15] Schneier, B. (2000). Secrets and lies: digital security in a networked world. New York: 
John Wiley and Sons. 
[16] Webster's Online Dictionary,  truy nhập tháng 
9.2016. 
[17] The Free Online Dictionary of Computing,  truy nhập tháng 9.2016. 
PT
IT