Tổng quan nghiên cứu

Trong bối cảnh chuyển đổi số và phát triển mạnh mẽ của ngành viễn thông, dữ liệu được xem là tài sản chiến lược quan trọng của các doanh nghiệp. Theo ước tính, chất lượng dữ liệu kém có thể làm tăng rủi ro hoạt động và ảnh hưởng trực tiếp đến hiệu quả ra quyết định của lãnh đạo, từ đó tác động tiêu cực đến sự phát triển bền vững của tổ chức. Tổng công ty Mạng lưới Viettel, với vai trò là một trong những nhà cung cấp dịch vụ viễn thông hàng đầu tại Việt Nam, đang đối mặt với nhiều thách thức trong quản lý dữ liệu như dữ liệu phân tán, không tập trung và thiếu các giải pháp quản lý an toàn thông tin toàn diện. Mục tiêu nghiên cứu của luận văn là xây dựng khung quản trị dữ liệu phù hợp với đặc thù ngành viễn thông, tập trung vào nâng cao năng lực quản lý an toàn thông tin cho dữ liệu viễn thông tại Tổng công ty Mạng lưới Viettel. Phạm vi nghiên cứu tập trung vào giai đoạn khảo sát, xây dựng và triển khai các giải pháp quản lý an toàn thông tin trong khoảng thời gian đến năm 2019. Nghiên cứu có ý nghĩa quan trọng trong việc nâng cao chất lượng dữ liệu, đảm bảo tính bảo mật, toàn vẹn và sẵn sàng của dữ liệu, từ đó góp phần tăng cường hiệu quả vận hành và nâng cao mức độ tin cậy đối với khách hàng và đối tác.

Cơ sở lý thuyết và phương pháp nghiên cứu

Khung lý thuyết áp dụng

Luận văn dựa trên hai lý thuyết và mô hình nghiên cứu chính:

  1. Khung quản lý dữ liệu DAMA: Đây là mô hình chuẩn quốc tế về quản lý dữ liệu, bao gồm các hợp phần như quản trị dữ liệu, kiến trúc dữ liệu, mô hình và thiết kế dữ liệu, lưu trữ và vận hành dữ liệu, an toàn dữ liệu, tích hợp dữ liệu, quản lý nội dung, báo cáo quản trị, siêu dữ liệu và chất lượng dữ liệu. Quản trị dữ liệu được đặt ở vị trí trung tâm, đóng vai trò là “trái tim” của hệ thống quản lý dữ liệu.

  2. Tiêu chuẩn ISO 27001:2013 về hệ thống quản lý an toàn thông tin (ISMS): Tiêu chuẩn này cung cấp mô hình thiết lập, triển khai, vận hành, giám sát và cải tiến hệ thống quản lý an toàn thông tin, đảm bảo tính bảo mật, toàn vẹn và sẵn sàng của dữ liệu. Mô hình PDCA (Plan-Do-Check-Act) được áp dụng để quản lý liên tục và hiệu quả các quy trình an toàn thông tin.

Các khái niệm chính được sử dụng bao gồm: quản trị dữ liệu, quản lý dữ liệu, an toàn thông tin, quản lý rủi ro, tính liên tục kinh doanh, và các hợp phần cấu thành khung quản lý dữ liệu viễn thông.

Phương pháp nghiên cứu

Nghiên cứu sử dụng phương pháp kết hợp giữa lý thuyết và thực nghiệm:

  • Nguồn dữ liệu: Thu thập dữ liệu từ khảo sát hiện trạng quản lý dữ liệu và an toàn thông tin tại Tổng công ty Mạng lưới Viettel, các tài liệu nội bộ, tiêu chuẩn quốc tế và các báo cáo ngành viễn thông.

  • Phương pháp phân tích: Phân tích định tính và định lượng các vấn đề hiện tại trong quản lý dữ liệu, đánh giá rủi ro an toàn thông tin dựa trên checklist khảo sát chi tiết theo tiêu chuẩn ISO 27001:2013. Xây dựng và áp dụng mô hình quản lý rủi ro ba lớp, đồng thời phát triển công cụ quản lý rủi ro để theo dõi và xử lý các rủi ro phát sinh.

  • Timeline nghiên cứu: Nghiên cứu được thực hiện trong giai đoạn từ năm 2018 đến giữa năm 2019, bao gồm khảo sát, xây dựng khung quản lý, triển khai giải pháp và đánh giá hiệu quả.

Kết quả nghiên cứu và thảo luận

Những phát hiện chính

  1. Khung quản lý dữ liệu viễn thông phù hợp: Luận văn đã xây dựng khung quản lý dữ liệu đặc thù cho ngành viễn thông, bao gồm các hợp phần quản trị dữ liệu, thu thập/lưu trữ, chất lượng, truy cập/cung cấp, phân tích và an ninh dữ liệu. Khung này phân bổ rõ trách nhiệm giữa các đơn vị trong tập đoàn, phù hợp với mô hình tổ chức hiện tại.

  2. Tình trạng quản lý an toàn thông tin còn nhiều hạn chế: Khảo sát cho thấy hơn 80% sự cố an toàn thông tin xuất phát từ yếu tố quản lý và con người, trong khi đầu tư nâng cao nhận thức cho nhân viên chưa được chú trọng. Năm 2018, tổng công ty ghi nhận 59 sự cố nghiêm trọng, giảm xuống còn khoảng 40 sự cố trong năm 2019 sau khi áp dụng các giải pháp quản lý rủi ro.

  3. Hiệu quả của mô hình quản lý rủi ro ba lớp: Mô hình kiểm soát rủi ro gồm tuyến kiểm soát thứ nhất (các bộ phận nghiệp vụ), tuyến thứ hai (ban quản lý rủi ro) và tuyến thứ ba (kiểm toán độc lập) đã giúp nhận diện và xử lý kịp thời các rủi ro an toàn thông tin. Tính đến tháng 6/2019, hệ thống quản lý rủi ro đã phát hiện và quản lý luỹ kế 1403 rủi ro.

  4. Tăng cường tính liên tục và sẵn sàng của hệ thống: Việc xây dựng kế hoạch đảm bảo tính liên tục kinh doanh (BCP) và các quy trình vận hành khai thác hệ thống đã giúp giảm thiểu thời gian gián đoạn dịch vụ, nâng cao độ tin cậy của hệ thống viễn thông.

Thảo luận kết quả

Nguyên nhân chính dẫn đến các sự cố an toàn thông tin là do thiếu sự quản lý tổng thể và chưa có hệ thống đánh giá rủi ro chủ động. Việc áp dụng tiêu chuẩn ISO 27001:2013 và mô hình PDCA đã giúp tổ chức xây dựng hệ thống quản lý an toàn thông tin bài bản, đồng thời nâng cao nhận thức và trách nhiệm của nhân viên. So sánh với các nghiên cứu trong ngành, kết quả này phù hợp với xu hướng toàn cầu về quản lý dữ liệu và an toàn thông tin trong viễn thông. Việc triển khai công cụ quản lý rủi ro giúp theo dõi tiến độ xử lý và cập nhật trạng thái rủi ro liên tục, tạo điều kiện cho việc ra quyết định kịp thời và chính xác. Các biểu đồ và bảng số liệu về số lượng sự cố, mức độ rủi ro và tiến độ xử lý rủi ro có thể được trình bày để minh họa hiệu quả của các giải pháp.

Đề xuất và khuyến nghị

  1. Triển khai đồng bộ hệ thống quản lý rủi ro an toàn thông tin: Đẩy mạnh áp dụng mô hình ba tuyến phòng thủ, xây dựng và duy trì quy trình nhận diện, đánh giá, kiểm soát và giám sát rủi ro. Mục tiêu giảm 30% số sự cố nghiêm trọng trong vòng 12 tháng, do Ban quản lý rủi ro phối hợp với các phòng ban nghiệp vụ thực hiện.

  2. Nâng cao nhận thức và đào tạo nhân viên về an toàn thông tin: Tổ chức các chương trình đào tạo định kỳ, truyền thông nội bộ về chính sách và quy trình an toàn thông tin. Mục tiêu đạt 100% nhân viên được đào tạo trong 6 tháng, do phòng Nhân sự và Ban An toàn thông tin phối hợp thực hiện.

  3. Xây dựng và hoàn thiện công cụ quản lý rủi ro: Phát triển phần mềm quản lý rủi ro tích hợp, hỗ trợ cập nhật, theo dõi và báo cáo rủi ro theo thời gian thực. Mục tiêu hoàn thành triển khai trong 9 tháng, do Ban CNTT và Ban Quản lý rủi ro phối hợp thực hiện.

  4. Tăng cường tính liên tục và sẵn sàng của hệ thống viễn thông: Thường xuyên kiểm tra, diễn tập kế hoạch đảm bảo tính liên tục kinh doanh (BCP), cập nhật và cải tiến các quy trình vận hành khai thác. Mục tiêu giảm thời gian gián đoạn dịch vụ xuống dưới 1% trong năm tiếp theo, do Ban Vận hành và Ban An toàn thông tin phối hợp thực hiện.

Đối tượng nên tham khảo luận văn

  1. Các nhà quản lý và lãnh đạo doanh nghiệp viễn thông: Giúp hiểu rõ về tầm quan trọng của quản lý dữ liệu và an toàn thông tin, từ đó xây dựng chiến lược quản trị dữ liệu hiệu quả.

  2. Chuyên gia và cán bộ công nghệ thông tin: Cung cấp kiến thức chuyên sâu về khung quản lý dữ liệu, tiêu chuẩn ISO 27001 và các phương pháp quản lý rủi ro, hỗ trợ triển khai các giải pháp kỹ thuật và quy trình vận hành.

  3. Nhà nghiên cứu và sinh viên ngành công nghệ thông tin, quản trị kinh doanh: Là tài liệu tham khảo quý giá về nghiên cứu ứng dụng quản lý dữ liệu và an toàn thông tin trong môi trường doanh nghiệp viễn thông.

  4. Các tổ chức, doanh nghiệp có nhu cầu xây dựng hệ thống quản lý dữ liệu và an toàn thông tin: Tham khảo mô hình và phương pháp luận để áp dụng phù hợp với đặc thù ngành nghề và quy mô tổ chức.

Câu hỏi thường gặp

  1. Khung quản lý dữ liệu viễn thông có điểm gì khác biệt so với khung quản lý dữ liệu chung?
    Khung quản lý dữ liệu viễn thông được thiết kế đặc thù phù hợp với mô hình tổ chức và đặc thù nghiệp vụ của ngành viễn thông, phân bổ rõ trách nhiệm giữa các đơn vị trong tập đoàn, tập trung vào các hợp phần như quản trị dữ liệu, thu thập/lưu trữ, chất lượng, truy cập, phân tích và an ninh dữ liệu.

  2. Tại sao cần áp dụng tiêu chuẩn ISO 27001:2013 trong quản lý an toàn thông tin?
    ISO 27001:2013 cung cấp mô hình hệ thống quản lý an toàn thông tin toàn diện, giúp tổ chức thiết lập, vận hành và cải tiến liên tục các biện pháp bảo vệ dữ liệu, giảm thiểu rủi ro và đảm bảo tuân thủ các yêu cầu pháp lý và nghiệp vụ.

  3. Mô hình quản lý rủi ro ba lớp hoạt động như thế nào?
    Mô hình gồm tuyến kiểm soát thứ nhất là các bộ phận nghiệp vụ trực tiếp nhận diện và xử lý rủi ro; tuyến thứ hai là ban quản lý rủi ro xây dựng chính sách, giám sát và hỗ trợ; tuyến thứ ba là kiểm toán độc lập đánh giá tuân thủ và hiệu quả quản lý rủi ro.

  4. Làm thế nào để nâng cao nhận thức an toàn thông tin cho nhân viên?
    Thông qua các chương trình đào tạo định kỳ, truyền thông nội bộ, xây dựng văn hóa an toàn thông tin và đánh giá hiệu quả đào tạo, đảm bảo nhân viên hiểu rõ trách nhiệm và tuân thủ các quy định về an toàn thông tin.

  5. Các giải pháp nâng cao tính liên tục kinh doanh được triển khai ra sao?
    Xây dựng kế hoạch đảm bảo tính liên tục kinh doanh (BCP) dựa trên phân tích tác động kinh doanh (BIA), tổ chức diễn tập định kỳ, cập nhật kế hoạch phù hợp với thay đổi tổ chức và đào tạo nhân viên về trách nhiệm trong kế hoạch.

Kết luận

  • Luận văn đã xây dựng thành công khung quản lý dữ liệu đặc thù cho ngành viễn thông, phù hợp với mô hình tổ chức và nghiệp vụ của Tổng công ty Mạng lưới Viettel.
  • Tập trung nghiên cứu và triển khai giải pháp quản lý an toàn thông tin dựa trên tiêu chuẩn ISO 27001:2013, giúp nâng cao năng lực quản lý rủi ro và bảo vệ dữ liệu viễn thông.
  • Phát triển mô hình quản lý rủi ro ba lớp và công cụ quản lý rủi ro hiệu quả, đã phát hiện và xử lý hơn 1400 rủi ro an toàn thông tin trong gần 6 tháng triển khai.
  • Giảm số sự cố nghiêm trọng từ 59 sự cố năm 2018 xuống còn khoảng 40 sự cố năm 2019, nâng cao tính liên tục và sẵn sàng của hệ thống viễn thông.
  • Đề xuất các giải pháp cụ thể về quản lý rủi ro, đào tạo nhân viên, phát triển công cụ và tăng cường tính liên tục kinh doanh, làm nền tảng cho các bước phát triển tiếp theo trong quản lý dữ liệu và an toàn thông tin.

Next steps: Tiếp tục mở rộng triển khai các hợp phần khác trong khung quản lý dữ liệu, nâng cao hiệu quả công tác đào tạo và hoàn thiện công cụ quản lý rủi ro.

Call-to-action: Các tổ chức viễn thông và doanh nghiệp liên quan nên áp dụng khung quản lý dữ liệu và hệ thống quản lý an toàn thông tin toàn diện để bảo vệ tài sản dữ liệu và nâng cao hiệu quả kinh doanh.