Tổng quan nghiên cứu

Trong bối cảnh chuyển đổi số và phát triển mạnh mẽ của công nghệ thông tin, dữ liệu được xem là tài sản quan trọng hàng đầu của các tổ chức, đặc biệt trong lĩnh vực viễn thông. Tại Tổng công ty Mạng lưới Unitel, tỉnh Attapeu, nước CHDCND Lào, việc quản lý và đảm bảo an toàn dữ liệu viễn thông đang đối mặt với nhiều thách thức như dữ liệu phân tán, quản lý chưa tập trung và thiếu các giải pháp tổng thể về an toàn thông tin. Theo ước tính, hơn 80% sự cố an toàn thông tin xuất phát từ yếu tố quản lý và con người, trong khi các hoạt động nâng cao nhận thức về an toàn thông tin chưa được chú trọng đúng mức. Mục tiêu nghiên cứu của luận văn là xây dựng giải pháp đảm bảo an toàn dữ liệu viễn thông, tập trung vào nâng cao năng lực quản lý an toàn thông tin cho Tổng công ty mạng lưới Unitel tại Attapeu. Phạm vi nghiên cứu bao gồm các hoạt động quản lý rủi ro, vận hành khai thác và nâng cao tính liên tục của hệ thống công nghệ thông tin và viễn thông trong giai đoạn năm 2022-2023. Nghiên cứu có ý nghĩa quan trọng trong việc nâng cao chất lượng dữ liệu, giảm thiểu rủi ro sự cố, đồng thời tăng cường độ tin cậy và bảo mật thông tin, góp phần thúc đẩy sự phát triển bền vững của tổ chức.

Cơ sở lý thuyết và phương pháp nghiên cứu

Khung lý thuyết áp dụng

Luận văn dựa trên hai khung lý thuyết chính: Khung quản lý dữ liệu DAMA và tiêu chuẩn quản lý an toàn thông tin ISO 27001:2013. Khung DAMA tập trung vào các thành phần quản lý dữ liệu như quản trị dữ liệu, kiến trúc dữ liệu, lưu trữ và vận hành, bảo mật dữ liệu, tích hợp dữ liệu, quản lý tài liệu và chất lượng dữ liệu. Trong đó, quản trị dữ liệu đóng vai trò trung tâm, đảm bảo tính nhất quán và cân bằng giữa các chức năng quản lý dữ liệu. Tiêu chuẩn ISO 27001:2013 cung cấp mô hình hệ thống quản lý an toàn thông tin (ISMS) với quy trình PDCA (Lập kế hoạch - Thực hiện - Kiểm tra - Hành động), giúp tổ chức thiết lập, vận hành, giám sát và cải tiến liên tục hệ thống bảo mật thông tin. Các khái niệm chính bao gồm an toàn thông tin với ba thuộc tính cốt lõi: tính bảo mật, tính toàn vẹn và tính sẵn sàng; quản lý rủi ro an toàn thông tin; và các biện pháp kiểm soát an ninh theo tiêu chuẩn quốc tế.

Phương pháp nghiên cứu

Nghiên cứu sử dụng phương pháp kết hợp giữa khảo sát thực trạng, phân tích tài liệu và thực nghiệm triển khai giải pháp. Nguồn dữ liệu chính bao gồm kết quả khảo sát đánh giá hiện trạng quản lý dữ liệu và an toàn thông tin tại Tổng công ty mạng lưới Unitel, các tài liệu pháp luật và tiêu chuẩn quốc tế liên quan. Cỡ mẫu khảo sát gồm các cán bộ quản lý và nhân viên kỹ thuật trong các phòng ban chức năng của đơn vị. Phương pháp chọn mẫu là chọn mẫu thuận tiện và mẫu có chủ đích nhằm đảm bảo thu thập được thông tin đa chiều. Phân tích dữ liệu sử dụng phương pháp định tính và định lượng, bao gồm đánh giá điểm mạnh, điểm yếu, phân tích rủi ro và xây dựng mô hình quản lý. Timeline nghiên cứu kéo dài trong khoảng 12 tháng, từ khảo sát hiện trạng, xây dựng khung quản lý, triển khai thực nghiệm đến đánh giá kết quả và đề xuất giải pháp.

Kết quả nghiên cứu và thảo luận

Những phát hiện chính

  1. Hiện trạng quản lý dữ liệu phân tán và chưa tập trung: Khảo sát cho thấy dữ liệu viễn thông tại Unitel được lưu trữ và quản lý rải rác tại nhiều phòng ban, gây khó khăn trong việc thu thập và làm sạch dữ liệu, chiếm tới khoảng 70% thời gian dự án dữ liệu.

  2. Thiếu hệ thống quản lý an toàn thông tin tổng thể: Đơn vị chưa triển khai đầy đủ các giải pháp quản lý rủi ro an toàn thông tin, chỉ xử lý sự cố khi phát sinh, dẫn đến tỷ lệ sự cố an toàn thông tin hàng ngày chiếm khoảng 15% tổng số sự cố kỹ thuật.

  3. Chưa có kế hoạch đảm bảo tính liên tục và dự phòng hệ thống: Các phương án dự phòng và thử nghiệm tính liên tục chưa được thực hiện định kỳ, làm tăng nguy cơ gián đoạn dịch vụ viễn thông, ảnh hưởng đến hơn 10% thời gian hoạt động hệ thống trong năm qua.

  4. Nhận thức và đào tạo an toàn thông tin còn hạn chế: Hơn 80% sự cố liên quan đến yếu tố con người, tuy nhiên chưa có chương trình đào tạo nâng cao nhận thức an toàn thông tin thường xuyên cho nhân viên.

Thảo luận kết quả

Nguyên nhân chính của các vấn đề trên xuất phát từ việc thiếu một khung quản lý dữ liệu và an toàn thông tin toàn diện, cũng như chưa có sự phối hợp chặt chẽ giữa các phòng ban trong tổ chức. So với các nghiên cứu trong ngành viễn thông, việc áp dụng tiêu chuẩn ISO 27001 và mô hình PDCA đã được chứng minh là hiệu quả trong việc nâng cao năng lực quản lý an toàn thông tin. Việc xây dựng khung quản lý dữ liệu viễn thông dựa trên DAMA giúp tổ chức có cái nhìn tổng thể về các hợp phần cần quản lý, từ quản trị, thu thập, lưu trữ đến phân tích và bảo mật dữ liệu. Các biểu đồ đánh giá rủi ro và bảng phân tích điểm yếu, đe dọa được sử dụng để minh họa mức độ ưu tiên xử lý rủi ro, giúp lãnh đạo có cơ sở ra quyết định. Kết quả nghiên cứu cho thấy việc triển khai các giải pháp quản lý rủi ro, vận hành và đảm bảo tính liên tục sẽ giảm thiểu đáng kể các sự cố, nâng cao độ tin cậy hệ thống và tăng cường bảo mật dữ liệu.

Đề xuất và khuyến nghị

  1. Xây dựng và triển khai hệ thống quản lý rủi ro an toàn thông tin: Thiết lập quy trình đánh giá, phân loại và xử lý rủi ro theo tiêu chuẩn ISO 31000:2018, áp dụng công cụ quản lý rủi ro chuyên biệt. Mục tiêu giảm tỷ lệ sự cố an toàn thông tin xuống dưới 5% trong vòng 12 tháng. Chủ thể thực hiện là phòng An ninh mạng phối hợp với các phòng ban liên quan.

  2. Hoàn thiện quy trình vận hành khai thác an toàn: Xây dựng bộ quy trình vận hành chuẩn, tích hợp các biện pháp kiểm soát truy cập, mã hóa dữ liệu và giám sát liên tục. Đào tạo nhân viên vận hành về quy trình mới trong 6 tháng đầu. Chủ thể thực hiện là phòng Vận hành và phòng Đào tạo.

  3. Thiết lập kế hoạch đảm bảo tính liên tục kinh doanh (BCP): Xây dựng và thử nghiệm định kỳ các phương án dự phòng, khôi phục hệ thống nhằm đảm bảo thời gian gián đoạn dịch vụ dưới 1% mỗi năm. Chủ thể thực hiện là Ban Quản lý dự án và phòng CNTT.

  4. Tăng cường đào tạo và nâng cao nhận thức an toàn thông tin: Triển khai chương trình đào tạo định kỳ, truyền thông nội bộ về an toàn thông tin cho toàn bộ nhân viên, đặc biệt là các bộ phận liên quan trực tiếp đến dữ liệu. Mục tiêu đạt 100% nhân viên tham gia đào tạo hàng năm. Chủ thể thực hiện là phòng Nhân sự và phòng An ninh mạng.

Đối tượng nên tham khảo luận văn

  1. Lãnh đạo và quản lý doanh nghiệp viễn thông: Giúp hiểu rõ tầm quan trọng của quản lý dữ liệu và an toàn thông tin, từ đó xây dựng chiến lược và chính sách phù hợp.

  2. Chuyên viên công nghệ thông tin và an ninh mạng: Cung cấp kiến thức chuyên sâu về khung quản lý dữ liệu và các giải pháp an toàn thông tin theo tiêu chuẩn quốc tế, hỗ trợ triển khai thực tế.

  3. Nhà nghiên cứu và sinh viên ngành công nghệ thông tin: Là tài liệu tham khảo quý giá về phương pháp nghiên cứu, xây dựng khung quản lý và áp dụng tiêu chuẩn ISO 27001 trong môi trường viễn thông.

  4. Các tổ chức, doanh nghiệp có hệ thống dữ liệu phức tạp: Tham khảo mô hình quản lý dữ liệu và an toàn thông tin để áp dụng, nâng cao hiệu quả quản lý và bảo vệ tài sản dữ liệu.

Câu hỏi thường gặp

  1. Tại sao quản lý dữ liệu lại quan trọng trong viễn thông?
    Quản lý dữ liệu giúp đảm bảo dữ liệu được thu thập, lưu trữ và sử dụng hiệu quả, nâng cao chất lượng phân tích và ra quyết định, đồng thời giảm thiểu rủi ro mất mát hoặc lộ thông tin quan trọng.

  2. Tiêu chuẩn ISO 27001:2013 có vai trò gì trong quản lý an toàn thông tin?
    ISO 27001:2013 cung cấp khung hệ thống quản lý an toàn thông tin (ISMS) giúp tổ chức thiết lập, vận hành và cải tiến liên tục các biện pháp bảo vệ thông tin, giảm thiểu rủi ro bảo mật.

  3. Phương pháp PDCA được áp dụng như thế nào trong nghiên cứu?
    PDCA là chu trình Lập kế hoạch - Thực hiện - Kiểm tra - Hành động, được sử dụng để triển khai và giám sát hệ thống quản lý an toàn thông tin, đảm bảo cải tiến liên tục và hiệu quả.

  4. Làm thế nào để đánh giá rủi ro an toàn thông tin hiệu quả?
    Đánh giá rủi ro dựa trên việc nhận diện tài sản, điểm yếu, đe dọa và xác định mức độ ảnh hưởng, tần suất xảy ra, từ đó ưu tiên xử lý các rủi ro có mức độ nghiêm trọng cao.

  5. Giải pháp nào giúp nâng cao nhận thức an toàn thông tin cho nhân viên?
    Triển khai chương trình đào tạo định kỳ, truyền thông nội bộ, xây dựng văn hóa an toàn thông tin và đánh giá hiệu quả qua các bài kiểm tra, khảo sát nhận thức.

Kết luận

  • Luận văn đã xây dựng thành công khung quản lý dữ liệu viễn thông phù hợp với đặc thù của Tổng công ty mạng lưới Unitel tại Attapeu, tập trung vào hợp phần quản lý an toàn thông tin.
  • Áp dụng tiêu chuẩn ISO 27001:2013 và mô hình PDCA giúp tổ chức thiết lập hệ thống quản lý an toàn thông tin hiệu quả, giảm thiểu rủi ro và nâng cao tính liên tục của hệ thống.
  • Ba giải pháp chính được đề xuất gồm quản lý rủi ro, quản lý vận hành và đảm bảo tính liên tục kinh doanh, cùng với chương trình đào tạo nâng cao nhận thức an toàn thông tin.
  • Kết quả triển khai thực nghiệm cho thấy giảm tỷ lệ sự cố an toàn thông tin, tăng cường bảo mật và nâng cao độ tin cậy hệ thống viễn thông.
  • Các bước tiếp theo bao gồm mở rộng triển khai toàn diện các hợp phần quản lý dữ liệu, đánh giá định kỳ và cập nhật giải pháp phù hợp với sự phát triển công nghệ và yêu cầu tổ chức.

Hành động ngay hôm nay: Các đơn vị viễn thông và tổ chức quản lý dữ liệu nên áp dụng các giải pháp quản lý an toàn thông tin toàn diện để bảo vệ tài sản dữ liệu, nâng cao hiệu quả hoạt động và đảm bảo sự phát triển bền vững trong kỷ nguyên số.