LỜI CẢM ƠN
Trong quá trình nghiên cứu và thực hiện khóa luận tốt nghiệp, em đã nhận được sự
hướng dẫn nhiệt tình của giáo viên hướng dẫn Th.S Bùi Quang Trường, cùng sự giúp
đỡ của ban giám đốc và toàn thể nhân viên Công ty CP đầu tư và phát triển phần mềm
SDIC.
Trước hết, em xin gửi lời cảm ơn sâu sắc nhất tới thầy Th.S Bùi Quang Trường –
Giáo viên hướng dẫn đã giúp đỡ em có những định hướng đúng đắn khi thực hiện
khóa luận tốt nghiệp cũng như những kỹ năng nghiên cứu cần thiết khác.
Em cũng xin được gửi lời cảm ơn chân thành tới ban giám đốc cũng như các
anh/chị làm việc tại Công ty CP đầu tư và phát triển phần mềm SDIC vì sự quan tâm,
ủng hộ và hỗ trợ cho em trong quá trình thực tập và thu thập tài liệu.
Em xin được gửi lời cảm ơn tới các thầy cô giáo trong khoa Hệ Thống Thông Tin
Kinh Tế về sự động viên khích lệ mà em đã nhận được trong suốt quá trình học tập và
hoàn thành khóa luận này.
Trong quá trình nghiên cứu đề tài, mặc dù rất rỗ lực, cố gắng tuy nhiên vẫn không
tránh khỏi những thiếu sót. Em rất mong nhận được những ý kiến đóng góp từ các
thầy/cô giáo, từ các nhân viên trong Công ty CP đầu tư và phát triển phần mềm SDIC
để hoàn thiện hơn nữa khóa luận tốt nghiệp của mình.
Em xin chân thành cảm ơn!
Hà Nội, Ngày… tháng…năm 2012
Sinh viên thực hiện
Trần Văn Huấn
i
MỤC LỤC
MỤC LỤC ii

ii
DANH MỤC BẢNG BIỂU, SƠ ĐỒ, HÌNH VẼ
Hình 2.1: Ba mục tiêu bảo mật thông tin 7
Hình 2.2: Hạ tầng công nghệ của Công ty SDIC giai đoạn 2009 – 2011 15
Bảng 2.1: Cơ cấu nguồn nhân lực của công ty SDIC từ 2009 đến 2011 16

DOS : Denial Of Service – Tấn công từ chối dịch vụ
DMZ : Demilitarized Zone – Vùng phi quân sự
HRM : Human resource management – Quản lý nguồn nhân lực
IBM : International Business Machines – Tập đoàn IBM
IPS : Instrusion Prevention System – Hệ thống giám sát, cảnh báo và
ngăn chặn xâm nhập
OS : Operating System – Hệ điều hành
SDIC : Software Development Investment Joint Stock Company – Công
ty Cổ phần đầu tư và phát triển phần mềm SDIC
TCP/IP : Transmission Control Protocol/ Internet Protocol – Giao thức điều
khiển truyền vận /Giao thức liên mạng
Phần 1: TỔNG QUAN VỀ AT & BM HTTT QL TẠI CÔNG TY CỔ PHẦN
ĐẦU TƯ VÀ PHÁT TRIỂN PHẦN MỀM SDIC
1.1 Tính cấp thiết nghiên cứu đề tài:
Những hệ thống trên nền intetnet đã trở thành một thành phần rất cần thiết để kinh
doanh thành công trong môi trường hiện nay. HTTT góp phần quan trọng vào hiệu quả
hoạt động, tinh thần và năng suất lao động của nhân viên, phục vụ và đáp ứng thỏa
mãn khách hàng. HTTT cung cấp các thông tin vô cúng cần thiết cho việc ra quyết
định của các cấp quản trị và các doanh nhân. Công nghệ thông tin đang giữ đang giữ
vai trò ngày càng lớn trong kinh doanh. Công nghệ thông tin có thể hỗ trợ mọi DN cải
thiện hiệu quả và hiệu suất của các quy trình nghiệp vụ kinh doanh, quản trị ra quyết
định, công tác nhóm làm việc, qua đó tăng cường vị thế cạnh tranh của DN trong một
thị trường thay đổi nhanh.
HTTT cung cấp các thông tin quan trọng, thông tin nằm ở kho dữ liệu hay đang
trên đường truyền có thể bị trộm cắp, có thể bị làm sai lệch, có thể bị giả mạo. Điều đó
có thể ảnh hưởng tới các tổ chức, các công ty hay cả một quốc gia. Những bí mật kinh
doanh, tài chính là mục tiêu của các đối thủ cạnh tranh. Những tin tức về an ninh quốc
gia là mục tiêu của các tổ chức tình báo trong và ngoài nước.
Theo báo cáo “Hiện trạng An toàn thông tin trong các tổ chức doanh nghiệp Việt
Nam 2011” của Hiệp hội an toàn thông tin Việt Nam – VNISA công bố ngày 23 tháng

phần mềm SDIC” để có cơ hội nghiên cứu sâu hơn về các hoạt động đảm bảo AT &
BM HTTT QL tại công ty.
Trong đề tài này với mong muốn giúp DN đạt được hiệu quả cao hơn trong vấn đề
đảm bảo AT & BM HTTT QL. Em sẽ tập trung nghiên cứu trên cơ sở lý luận về lý
thuyết an toàn, bảo mật thông tin nói chung và AT & BM HTTT QL nói riêng, đặc
biệt là các yếu tố ảnh hưởng và các tiêu chí đo lường hiệu quả các giải pháp đảm bảo
AT & BM HTTT QL để có thể đánh giá được chính xác nhất về thực trạng cũng như
hiệu quả của các giải pháp đảm bảo AT & BM HTTT QL của công ty. Từ đó khóa
luận đưa ra những giải pháp phù hợp nhằm nâng cao hiệu quả của các biện pháp đảm
bảo AT & BM HTTT QL của Công ty Cổ phần đầu tư và phát triển phần mềm SDIC.
1.3 Các mục tiêu nghiên cứu:
Việc nghiên cứu khóa luận nhằm các mục tiêu sau:
- Hệ thống hóa một số cơ sở lý luận về AT & BM HTTT QL trong DN.
- Trên cơ sở lý luận, các công cụ phân tích để đánh giá thực trạng hoạt động đảm
bảo AT & BM HTTT QL tại Công ty Cổ phần đầu tư và phát triển phần mềm SDIC.
2
- Trên cơ sở lý luận và phân tích thực trạng để đưa ra các giải pháp khả thi nhằm
nâng cao hiệu quả hoạt động đảm bảo AT & BM HTTT QL cho Công ty Cổ phần đầu
tư và phát triển phần mềm SDIC.
1.4 Đối tượng và phạm vi nghiên cứu:
a. Đối tượng nghiên cứu: Các giải pháp công nghệ và giải pháp con người để đảm
bảo nâng cao hoạt động AT & BM HTTT QL là đối tượng nghiên cứu chính của đề
tài.
b. Phạm vi nghiên cứu:
- Phạm vi thời gian: Đề tài sẽ phân tích các hoạt động AT & BM HTTT QL của
DN thông qua các báo cáo kinh doanh, các tài liệu điều tra liên quan trong 3 năm gần
đây (2009, 2010, 2011) và có những đề xuất cho hoạt động đảm bảo AT & BM HTTT
QL của công ty trong năm 2012, 2013 và định hướng đến năm 2015.
- Phạm vi không gian: Nghiên cứu thực trạng hoạt động AT & BM HTTT QL
của Công ty Cổ phần đầu tư và phát triển phần mềm SDIC.

- Nội dung: Gồm 5 câu hỏi mở để phỏng vấn trực tiếp một chuyên gia quản lý
trực tiếp HTTT quản lý của công ty để có thể ghi chép các câu trả lời.
- Cách thức tiến hành: Phỏng vấn cá nhân anh Tạ Kim Ngọc – Trưởng phòng gia
công phần mềm vào ngày 10/4/2012 tại trụ sở công ty: P1301 Nhà B11B Khu Nam
Trung Yên - Cầu Giấy - Hà Nội.
- Mục đích: Thu thập nhứng thông tin chuyên sâu và chi tiết về các hoạt động
đảm bảo AT & BM HTTT QL tại Công ty CP đầu tư và phát triển phần mềm SDIC.
1.5.3 Phương pháp phân tích và xử lý số liệu:
- Phương pháp định lượng: Sử dụng phần mềm SPSS (Statistical Package for
Social Sciences).
SPSS là một phần mềm cung cấp hệ thống quản lý dữ liệu và phân tích thống kê
trong một môi trường đồ họa, sử dụng các trình đơn mô tả và các hộp thoại đơn giản
để thực hiện hầu hết các công việc thống kê phân tích số liệu. Người dùng có thể dễ
dàng sử dụng SPSS để phân tích hồi quy, thống kê tần suất, xây dựng đồ thị…
- Phương pháp định tính: Phân tích, tổng hợp thông tin thông qua câu hỏi phỏng
vấn chuyên gia, phiếu điều tra và các tài liệu thứ cấp thu thập được.
1.6 Kết cấu của khóa luận:
Ngoài lời cảm ơn, danh mục bảng biểu sơ đồ hình vẽ, danh mục từ viết tắt, phụ lục
khóa luận gồm 3 phần:
Phần 1: Tổng quan AT & BM HTTT QL tại Công ty Cổ phần đầu tư và phát triển
phần mềm SDIC.
4
Phần 2: Cơ sở lý luận và thực trạng về AT & BM HTTT QL của Công ty Cổ phần
đầu tư và phát triển phần mềm SDIC.
Phần 3: Định hướng phát triển và đề xuất nhằm nâng cao hiệu quả AT & BM
HTTT QL tại Công ty Cổ phần đầu tư phát triển phần mềm SDIC.
5
Phần 2: CƠ SỞ LÝ LUẬN VÀ THỰC TRẠNG VỀ AT & BM HTTT QL CỦA
CÔNG TY CP ĐẦU TƯ PHÁT TRIỂN PHẦN MỀM SDIC
2.1 Cơ sở lý luận:

những thông tin cần thiết cho quản lý.
Nguồn: Bài giảng Hệ thống thông tin quản lý, Trường Đại học Thương mại Hà
Nội.
2.1.1.2 Khái niệm về an toàn, bảo mật HTTT quản lý:
An toàn thông tin: Thông tin được coi là an toàn khi thông tin đó không bị làm
hỏng hóc, không bị sửa đổi, thay đổi, sao chép hoặc xóa bỏ bởi người không được
phép.
Bảo mật thông tin: Là duy trì tính bí mật, tính toàn vẹn và tính sẵn sàng của thông
tin.
Hình 2.1: Ba mục tiêu bảo mật thông tin
- Tính bảo mật (Confidentially): Đảm bảo chỉ có những cá nhân được cấp quyền
mới được phép truy cập vào hệ thống. Đây là yêu cầu quan trọng của bảo mật thông
tin bởi vì đối với các tổ chức doanh nghiệp thì thông tin là tài sản có giá trị hàng đầu,
việc các cá nhân không được cấp quyền truy nhập trái phép vào hệ thống sẽ làm cho
thông tin bị thất thoát đồng nghĩa với việc tài sản của công ty bị xâm hại, có thể dẫn
đến phá sản.
- Tính toàn vẹn (Integrity): Đảm bảo rằng thông tin luôn ở trạng thái đúng, chính
xác, người sử dụng luôn được làm việc với các thông tin tin cậy chân thực. Chỉ các cá
nhân được cấp quyền mới được phép chỉnh sửa thông tin. Kẻ tấn công không chỉ có ý
định đánh cắp thông tin mà còn mong muốn làm cho thông tin bị mất giá trị sử dụng
bằng cách tạo ra các thông tin sai lệch gây thiệt hại cho công ty.
- Tính sẵn sàng (Availabillity): Đảm bảo cho thông tin luôn ở trạng thái sẵn sàng
phục vụ, bất cứ lúc nào người sử dụng hợp pháp có nhu cầu đều có thể truy nhập được
vào hệ thống. Có thể nói rằng đây yêu cầu quan trọng nhất, vì thông tin chỉ hữu ích khi
7
Tính toàn vẹn
Tính sẵn sàng
Tính bảo mật
người sử dụng cần là có thể dùng được, nếu 2 yêu cầu trên được đảm bảo nhưng yêu
cầu cuối cùng không được đảm bảo thì thông tin cũng trở nên mất giá trị.

Những người quản lý HTTT máy tính chỉ đạo công việc của những người phân
tích hệ thống, các lập trình viên, các chuyên gia hỗ trợ và những nhân viên khác có
liên quan. Nhà quản lý vạch ra kế hoạch và sắp xếp các hoạt động như cài đặt và nâng
cấp phần mềm, phần cứng, các thiết kế hệ thống và chương trình, sự phát triển mạng
máy tính và sự thực thi của các địa chỉ mạng liên thông và mạng nội bộ. Họ đặc biệt
ngày càng quan tâm đến sự bảo quản, bảo dưỡng, duy trì và an ninh của HTTT quản
lý.
Việc đảm bảo khả năng hữu dụng, tính liên tục, tính an ninh của dịch vụ công nghệ
thông tin và hệ thống dữ liệu là nhiệm vụ quan trọng của các nhà quản trị.
Công nghệ thông tin: Là yếu tố tạo nên nền móng cho các hoạt động sản xuất kinh
doanh cũng như các hoạt động hỗ trợ kinh doanh của DN. CNTT là yếu tố quyết định
đến việc lựa chọn và kết hợp các sản phẩm CNTT để đảm bảo an toàn và bảo mật
HTTT.
CNTT đang có khuynh hướng xóa nhòa các biên giới, mở ra không gian rộng rãi
hơn cho các DN, vì thế ứng dụng CNTT đang tạo ra những cơ hội mới với những
nguyên tắc mới. CNTT như một thách thức đồng thời cũng là nhân tố quan trọng phổ
biến nhất, lan tỏa mạnh nhất và hứa hẹn giúp các DN Việt Nam nhanh chóng hòa nhập
vào nền kinh tế toàn cầu.
Công nghệ được chia làm hai loại: Phần cứng và phần mềm.
− Những sản phẩm phần cứng như: Firewall phần cứng, máy tính, các thiết bị thu
thập, xử lý và lưu trữ thông tin…
− Những sản phẩm phần mềm như: Firewall phần mềm, phần mềm phòng trống
virus, những ứng dụng, hệ điều hành, giải pháp mã hóa…
2.1.1.4 Thông tin và những tác động cụ thể của những công cụ AT & BM HTTT QL:
Thông tin DN: Là những thông tin của DN về nhân sự, cơ cấu tổ chức, các văn
bản, chính sách, mục tiêu sản xuất kinh doanh của DN. Những thông tin có tính nhệ
cảm như: Báo cáo tài chính, báo cáo kết quả hoạt động kinh doanh, thông tin khách
hàng,…
Tác động của các công cụ đảm bảo an toàn và bảo mật tới HTTT DN: Những công
cụ an toàn, bảo mật thông tin hoạt động hiệu quả thì các sự cố tấn công từ bên trong

an toàn và bảo mật khác nhau. Có những thông tin được đưa vào diện bảo mật ở mức
rất cao và rất ít người được biết đến những thông tin này, có những thông tin lại ở
những mức độ cần an toàn, bảo mật ở mức thấp hơn. DN cần xác định đúng đắn các
thông tin cần đảm bảo an toàn, bảo mật để từ đó có các chính sách, công cụ hợp lý để
hỗ trợ, kiểm soát các thông tin này.
10
2.1.3.2 Xác định mục tiêu AT & BM HTTT QL:
Phát hiện các lỗ hổng của HTTT, dự đoán trước các nguy cơ tấn công.
Ngăn trặn những hành động gây mất an toàn, bảo mật thông tin từ bên trong cũng
như từ bên ngoài.
Một hệ thống thông tin an toàn và bảo mật phải đảm bảo được ba yêu cầu: Tính sẵn
sàng, tính bảo mật và tính toàn vẹn.
2.1.3.3 Xác định các loại tấn công:
Cần xác định rõ các loại tấn công vào HTTT của công ty để từ đó lựa chọn các
công cụ thích hợp để đảm bảo an toàn, bảo mật HTTT.
− Các nguy cơ xảy ra có thể là do nguyên nhân khách quan hoặc do chủ quan của
con người. Các nguyên nhân do khách quan mang lại là các sự cố xảy ra đột ngột
không lường trước, có thể là các thiên tai như động đất, núi lửa, sóng thần… hoặc
cũng có thể là do con người gây nên như là hỏa hoạn, mất điện hay sụp đổ hệ thống.
Còn các nguyên nhân chủ quan chính là các hành vi tấn công. Tấn công là các hành vi
nhằm phá hoại mục tiêu an toàn và bảo mật. Hình thức tấn công thường xảy ra hơn và
cũng khó đối phó hơn vì hình thức thay đổi liên tục, để đối phó được thì cần phải hiểu
được các kĩ thuật được sử dụng để tấn công ở mục này tác giả sẽ trình bày về các kĩ
thuật tấn công thường gặp.
− Phân loại tấn công: Các loại tấn công được phân làm 3 loại chính:
+ Kỹ thuật tấn công xã hội (Social Engineering Attacks): Kẻ tấn công lợi dụng sự
bất cẩn hay sự cả tin của những người trong công ty để lấy được thông tin xác nhận
quyền truy nhập của người dùng và có thể truy nhập vào hê thống bằng thông tin đó.
+ Tấn công phần mềm (Software Attacks): Loại này nhằm vào các ứng dụng
(Applications), hệ điều hành (OS) và các giao thức (Protocols). Mục đích là để phá

ngay trên các hệ điều hành và cho phép có những thông báo cho quản trị mạng hoặc
đóng băng các kết nối trong trường hợp khẩn cấp.
Cụ thể các công nghệ bảo mật đó được tổ chức phân lớp lần lượt như sau: (Xem
phụ lục 6)
2.1.3.5 Hoạch định ngân sách AT & BM HTTT QL:
Việc công ty dành bao nhiêu ngân sách cho chương trình đảm bảo AT & BM
HTTT QL sẽ ảnh hưởng tới việc chọn các công cụ đảm bảo an toàn và bảo mật, cũng
như quy mô của chương trình đối với các mục tiêu mà DN đề ra, công ty phải tính toán
làm sao với chi phí thấp nhất nhưng vẫn đạt được những mục tiêu mà HTTT quản lý
cần hướng tới. Các ngành khác nhau có mức ngân sách dành cho các hoạt động an
toàn và bảo mật khác nhau.
12
Có bốn phương pháp xác định ngân sách dành cho hoạt động đảm bảo AT & BM
HTTT QL mà các công ty thường áp dụng:
- Xác định theo tỷ lệ phần trăm trên doanh thu: Có nghĩa là ngân sách dành cho
hoạt động AT & BM HTTT QL sẽ phụ thuộc vào biến động của mức tiêu thụ hằng
năm của DN.
- Cân bằng cạnh tranh: Tức là xác định ngân sách ngang bằng với mức chi của
các hãng cạnh tranh.
- “Căn cứ vào mục tiêu và nhiệm vụ” phải hoàn thành: Đòi hỏi người quản trị
HTTT phải xác định được những mục tiêu cụ thể của chiến dịch đảm bảo AT & BM
HTTT QL rồi sau đó ước tính chi phí của các hoạt động cần thiết để đạt được những
mục tiêu đó.
- Theo khả năng tài chính của DN: Có nghĩa là ngân sách dành cho chương trình
đảm bảo AT & BM HTTT QL nhiều hay ít là tùy thuộc vào khả năng tài chính của
DN. Phương pháp này bỏ qua sự ảnh hưởng của hoạt động đảm bảo AT & BM HTTT
QL đối với mức doanh thu mà DN có được, nó dẫn đến ngân sách dành cho AT & BM
HTTT QL hằng năm không ổn định.
2.1.3.6 Đánh giá hiệu quả chương trình AT & BM HTTT QL:
Sau khi thực hiện kế hoạch đảm bảo an toàn và bảo mật HTTT quản lý, người quản

động trong lĩnh vực gia công phần mềm tin học và cung cấp các dịch vụ tin học văn
phòng. Website www.sdic.com.vn là nơi cung cấp các thông tin và các hoạt động
chính của công ty.
Hiện nay, Công ty đã có trên 30 nhân viên với nhiều năm kinh nghiệm về gia công
phần mềm và cung cấp các dịch vụ tin học. Công ty hiện đang trang bị cơ sở trang
thiết bị công nghệ thông tin tiến tiến. Với tiềm năng phát triển to lớn công ty đang có
chiến lược đến năm 2015 đầu tư mở rộng quy mô và xâm nhập vào các thị trường
trong nước và ngoài nước có liên quan đến công nghệ thông tin và các thiết bị tin học.
2.2.1.2 Công ty SDIC hiện đang hoạt động kinh doanh trên các lĩnh vực sau:
- Gia công các sản phẩm phần mềm tin học;
- Cho thuê, mua bán, xuất nhập khẩu các loại sản phẩm phần mềm tin học;
- Dịch vụ bảo dưỡng, bảo trì các loại sản phẩm phần mềm và hệ điều hành máy
tính;
- Thiết kế website (không bao gồm thiết kế công trình);
- Mua bán, xuất nhập khẩu các loại thiết bị điện tử, tin học;
- Dịch vụ thiết lập mạng máy tính (LAN, WAN);
- Dịch vụ bảo hành, bảo dưỡng, sửa chữa thiết bị tin học;
- Đào tạo và cung ứng nguồn nhân lực CNTT (không bao gồm dịch vụ cung ứng
nguồn nhân lực cho các doanh nghiệp xuất khẩu lao động);
- Thực hiện các dự án cung cấp phần mềm, thiết bị công nghệ thông tin theo yêu
cầu của khách hàng.
14
- Cung cấp máy chủ, máy tính để bàn, máy tính xách tay và các thiết bị tin học
văn phòng và linh kiện điện tử của các hãng IBM, HP, Dell, Toshiba, Acer, Sony tất cả
đều có chứng nhận xuất xứ chính hãng, chứng nhận chất lượng và bảo hành chính
hãng, phần mềm bản quyền kèm theo.
Với đội ngũ chuyên gia được đào tạo chính quy ở cả trong và ngoài nước, cộng với
sự tư vấn của các chuyên gia công tác lâu năm trong các lĩnh vực chuyên ngành, công
ty SDIC đã đem đến cho khách hàng trên phạm vị cả nước những sản phẩm có chất
lượng cao, bám sát nhu cầu người sử dụng.

và bảo mật HTTT quản lý.
Đơn vị tính: Đồng
Chỉ tiêu Năm 2009 Năm 2010 Năm 2011
Doanh thu bán hàng và cung cấp
dịch vụ
8.162.543.988 11.963.480.469 16.414.764.842
Tổng lợi nhuận kế toán trước
thuế
4.407.773.754 6.428.248.002 9.012.216.093
Chi phí thuế thu nhập DN 550.971.719 803.531.000 1.126.527.012
Chi phí cho hoạt động an toàn và
bảo mật HTTT quản lý
22.767.322 23.351.666 40.573.000
Lợi nhuận sau thuế thu nhập DN 3.856.802.035 5.624.717.002 7.885.689.081
Bảng 2.2: Một số chỉ tiêu chủ yếu công ty đã đạt được 3 năm 2009 – 2011
Nguồn: Phòng Kế toán.
Năm 2009, doanh thu của công ty là 8.162.543.988 VNĐ, đây là con số khá ấn
tượng vì Việt Nam đang trong thời kỳ bị ảnh hưởng của cuộc khủng hoảng kinh tế thế
giới. Nhưng đến năm 2010, mặc dù vẫn chịu ảnh hưởng của cuộc khủng hoảng tài
chính nhưng doanh thu của công ty đã tăng lên đáng kể đạt 11.963.480.469 VNĐ tăng
147% so với năm 2009. Đây là kết quả của sự nỗ lực, cố gắng giảm tối thiểu mức ảnh
hưởng của cuộc khủng hoảng tới hoạt động kinh doanh của công ty.
Đến năm 2011, nền kinh tế thế giới đã có phần khởi sắc hơn những năm trước, điều
này cũng đã ảnh hưởng tích cực tới nền kinh tế trong nước nói chung và hoạt động
kinh doanh của công ty SDIC nói riêng. Năm 2011, doanh thu công ty đạt
16.414.764.842 VNĐ tăng 137% so với năm 2010 và tăng 201% so với năm 2009. Với
16
tiềm năng về kinh tế, chắc chắn trong những năm tiếp theo doanh thu của công ty sẽ
tiếp tục có những khởi sắc đáng lạc quan.
2.2.1.4 Tổng hợp và đánh giá thực trạng về điều kiện ứng dụng AT & BM HTTT QL

- Cơ hội:
+ Là một doanh nghiệp hoạt động trong lĩnh vực CNTT sẽ tạo lợi thể rất lớn cho
công ty SDIC.
+ Công ty SDIC có thể tiếp cận đến các công cụ đảm bảo AT & BM HTTT QL
một cách dễ dàng và thuận lợi.
+ Công ty sẽ đánh giá được ngay hiệu quả của chương trình đảm bảo AT & BM
HTTT QL nhờ vào đặc thù hoạt động của công ty.
+ Các nhân viên trong công ty SDIC đã có kiến thức về an toàn và bảo mật
HTTT.
- Thách thức:
+ CNTT có thể dẫn đến các thách thức không thể đoán trước. Các doanh nghiệp
nhỏ có thể không xác lập chính xác nhu cầu của họ nếu không có sự trợ giúp của các
chuyên gia bên ngoài. Những người cung cấp giải pháp CNTT có khuynh hướng cung
cấp hệ thống mở rộng, phức tạp hơn cần thiết và thường không cho biết các thông tin
chính xác về thời gian cần cho việc học cách vận hành hệ thống.
+ Cải tiến bằng CNTT thường bắt đầu với quá trình công nghệ sản xuất, loại cải
tiến này yêu cầu thay đổi nhiều về các chức năng, nhiệm vụ và trách nhiệm các bộ
phận so với các loại cải tiến khác. Nó làm thay đổi từ bên trong tổ chức và các công
việc, nhiệm vụ của các nhân viên.
b. Chính sách, hệ thống pháp luật:
Để tiến hành các hoạt động đảm bảo AT & BM HTTT QL cần có khung pháp luật
và chính sách đầy đủ, cụ thể và chi tiết để các DN có thể thực hiện một cách dễ dàng.
- Cơ hội:
+ Tạo hành lang pháp lý cho vấn đề an ninh mạng và HTTT của DN, là những chỉ
dẫn cụ thể cho việc nên kế hoạch và triển khai các chương trình đảm bảo AT & BM
HTTT QL tại Công ty SDIC.
+ Nhà nước rất quan tâm đến vấn đề an ninh mạng và truyền thông và đã ban
hành ra các văn bản luật, các chính sách liên quan đến an toàn và bảo mật thông tin.
- Thách thức:
+ Chưa có văn bản cụ thể về vấn đề đảm bảo AT & BM HTTT QL, chỉ mới có

một số hoạt động dần được tự động hóa. Đây là vấn đề có ảnh hưởng tích cực tới việc
xây dựng một nền văn hóa mới trong công ty SDIC.
- Thách thức: Thay đổi môi trương văn hóa trong công ty SDIC để phù hợp với
chương trình đảm bảo AT & BM HTTT QL là một khó khăn và thường không có sự
hưởng ứng của các nhân viên trong công ty SDIC.
19
2.2.2.2 Ảnh hưởng của những nhân tố bên trong tới việc nâng cao hiệu quả AT &
BM HTTT QL:
a. Ngân sách dành cho chính sách AT & BM HTTT QL:
Ngân sách trung bình dành cho chương trình đảm bảo AT & BM HTTT QL của
công ty hằng năm hơn 30 triệu đồng nên việc lựa chọn các công cụ đảm bảo AT & BM
HTTT QL là một việc quan trọng trong khi xác lấp các mục tiêu của công ty. Mỗi
công cụ đảm bảo AT & BM HTTT QL có các mức chi phí khác nhau nên công ty luôn
phải cân nhắc các mục tiêu cần đạt được và chi phí cho từng công cụ mà đảm bảo đạt
được các mục tiêu đề ra của chương trình đảm bảo AT & BM HTTT QL với mức chi
phí thấp nhất.
b. Nguồn nhân lực danh cho AT & BM HTTT QL:
Các công việc đảm bảo AT & BM HTTT QL đòi hỏi kinh nghiệm và chuyên môn
nhất định của nhân lực phụ trách công việc này như khả năng về nắm bắt các điểm yếu
của HTTT, khả năng khắc phục sự cố một cách nhanh chóng. Một vấn đề mà công ty
hay gặp phải là khả năng kết nối giữa các phòng ban để tạo nên một HTTT an toàn vf
bảo mật trước các mối đe dọa từ bên ngoài cũng như từ bên trong HTTT đó.
2.2.3 Kết quả xử lý dữ liệu sơ cấp thu thập từ phiếu điều tra và phỏng vấn:
2.2.3.1 Kết quả xử lý phiếu điều tra và tổng hợp phỏng vấn:
a. Kết quả xử lý phiếu điều tra:
• Mức độ quan trọng của các thành phần trong một HTTT quản lý:
Đánh giá mức độ quan trọng của các thành phần trong một HTTT quản lý thì theo
đánh giá của 10 anh/chị cho biết thành phần con người được đánh giá có vai trò quyết
định trong HTTT quản lý (điểm quan trọng là 0.35), thành phần quan trọng thứ hai là
cơ sở dữ liệu (điểm quan trọng là 0.25), tiếp đến là phần cứng (điểm quan trọng là