KHẢO SÁT TÌNH HÌNH TRIỂN KHAI CÁC HOẠT ĐỘNG ĐẢM BẢO AN TOÀN THÔNG TIN SỐ (ATTTS) NĂM 2022

JavaScript isn't enabled in your browser, so this file can't be opened. Enable and reload.

Kính gửi Quý Anh/Chị,

Vai trò của bảo mật và an toàn thông tin luôn được đề cao trong mọi tổ chức, doanh nghiệp. Đây không những là vấn đề nổi cộm mà còn là rào cản lớn trong quá trình thực hiện chuyển đổi số. Với mục tiêu hiểu rõ bức tranh toàn cảnh về thực trạng ATTT cũng như nắm bắt được những nhu cầu về ATTT trong công cuộc Chuyển đổi số của các tổ chức, doanh nghiệp, Vina Aspire kính mời Anh/Chị dành thời gian thực hiện Khảo sát.

THÔNG TIN CHUNG

1. Họ và tên người thực hiện khảo sát
*

(Thông tin dùng cho Chương trình rút thăm trúng thưởng)

2. Email người thực hiện Khảo sát?
*

(Thông tin dùng cho Chương trình rút thăm trúng thưởng)

3. Đơn vị công tác
*

(Thông tin dùng cho Chương trình rút thăm trúng thưởng)

4. Số điện thoại liên hệ
*

(Thông tin dùng cho Chương trình rút thăm trúng thưởng)

Tổ chức ATTT trong tổ chức - Chính sách và kinh phí cho ATTT

5. Tổ chức của Quý vị có khoảng bao nhiêu cán bộ sử dụng máy tính?
*

Từ 1-50

Từ 51-300

Trên 300

Không rõ

6. Tổ chức của Quý vị có đơn vị/bộ phận chuyên trách về ATTT hay không?
*

Nếu có thì số lượng cán bộ chuyên trách là:

Từ 1-2

Từ 2-5

Từ 6-10

Trên 10

Không

7. Tổ chức của Quý vị có đơn vị/bộ phận bán chuyên trách về ATTT hay không?
*

Nếu có thì số lượng cán bộ bán chuyên trách là:

Từ 1-2

Từ 2-5

Từ 6-10

Trên 10

Không

8. Tổ chức của Quý vị đã xây dựng và ban hành quy chế, quy định về bảo đảm ATTT áp dụng cho hoạt động nội bộ của mình chưa?
*

Nếu có thì tổ chức của Quý vị xây dựng và áp dụng quy chế, quy định bảo đảm ATTT dựa theo các tiêu chuẩn nào dưới đây? (Có thể lựa chọn nhiều đáp án)

ISO/IEC 2700x

TCVN (tiêu chuẩn Việt Nam)

HiPAA

PCI

Common Criteria

Khác

Không

Required

9. Tổ chức của Quý vị có dự định, chủ trương thuê ngoài (out-source) các dịch vụ về bảo đảm ATTT không?
*

(Có thể lựa chọn nhiều đáp án)

Dịch vụ phát hiện và phòng chống virus máy tính

Dịch vụ đánh giá điểm yếu an toàn mạng

Dịch vụ đánh giá điểm yếu cho website

Dịch vụ tư vấn hệ thống ATTT

Dịch vụ theo dõi, giám sát an toàn mạng

Dịch vụ khác

Không

10. Tỷ lệ kinh phí đầu tư cho ATTT trong tổng nguồn vốn đầu tư dành cho CNTT (số liệu năm trước hoặc kế hoạch 2021)?
*

Luu ý: Kinh phí có thể nằm trong một dự án riêng về ATTT hoặc một phần của dự án CNTT

Từ 0-5%

Từ 5-9%

Từ 10-15%

Trên 10%

ĐÀO TẠO CHUYÊN SÂU VÀ ĐÀO TẠO NHẬN THỨC VỀ ATTT

11. Tổ chức của Quý vị có kế hoạch đào tạo, tập huấn về ATTT không?
*

Có

Không

12. Nếu có thì ước lượng chi phí cho kế hoạch đào tạo và tập huấn là bao nhiêu?
*

13. Tổ chức của Quý vị đã triển khai chương trình đào tạo, tập huấn về ATTT nào trong số những chương trình dưới đây và nhu cầu sắp tới trong tương lai?
*

(Có thể lựa chọn nhiều đáp án)

Đã đào tạo

Cần ngay

Trong vài năm tới

Nhóm chuyên gia quản lý ATTT (quản trị hệ thống thông tin, xây dựng chính sách ATTT, quản trị hạ tầng mạng, quản lý ATTT cấp cao, ...)

Đào tạo các kỹ thuật phòng thủ, chống tấn công (Phân tích mã độc, phòng chống mã độc và phần mềm gián điệp,…)

Đào tạo các kỹ thuật bảo vệ an toàn hệ thống và ứng dụng (Mã hóa, thám mã, Tích hợp hệ thống ATTT; Tư vấn thiết kế xây dựng hệ thống mạng an toàn; ...)

Nhóm chuyên gia kỹ thuật kiểm tra, đánh giá ATTT (Tư vấn chuẩn ATTT; Quản lý rủi ro và duy trì hoạt động rủi ro và duy trì hoạt động hệ thống thông tin; …)

Đã đào tạo

Cần ngay

Trong vài năm tới

Nhóm chuyên gia quản lý ATTT (quản trị hệ thống thông tin, xây dựng chính sách ATTT, quản trị hạ tầng mạng, quản lý ATTT cấp cao, ...)

Đào tạo các kỹ thuật phòng thủ, chống tấn công (Phân tích mã độc, phòng chống mã độc và phần mềm gián điệp,…)

Nhóm chuyên gia kỹ thuật kiểm tra, đánh giá ATTT (Tư vấn chuẩn ATTT; Quản lý rủi ro và duy trì hoạt động rủi ro và duy trì hoạt động hệ thống thông tin; …)

14. Tổ chức của Quý vị có cán bộ có chứng chỉ liên quan đến ATTT?
*

Nếu có thì số lượng cán bộ là:

Từ 1-2

Từ 2-5

Từ 6-10

Trên 10

Không

15. Tổ chức của Quý vị có định kỳ tuyên truyền, phổ biến nâng cao nhận thức của người sử dụng về ATTT hay không?
*

Có

Không

16. Hình thức để tuyên truyền, nâng cao nhận thức của người dùng mà tổ chức Quý vị sử dụng?
*

Có thể lựa chọn nhiều đáp án:

Đào tạo nâng cao nhận thức tập trung

Đưa việc bảo đảm ATTT vào các quy định chung của tổ chức

Nâng cao nhận thức về ATTT cho cán bộ nhân viên

Tập huấn xử lý sự cố ATTT

Khác

Required

17. Nội dung tổ chức của Quý vị đã tuyên truyền là gì?
*

(Có thể lựa chọn nhiều đáp án)

Có

Không

Đường lối, chính sách và pháp luật của Đảng và Nhà nước về ATTT

Các nguy cơ mất an toàn thông tin trong hoạt động hàng ngày

Kỹ năng phòng chống các nguy cơ mất an toàn thông tin

Xu hướng, tình hình an toàn thông tin tại Việt Nam và trên thế giới

Quy tắc đạo đức an toàn thông tin

Kỹ năng xử lý sự cố mất an toàn thông tin

Khác

Có

Không

Đường lối, chính sách và pháp luật của Đảng và Nhà nước về ATTT

Các nguy cơ mất an toàn thông tin trong hoạt động hàng ngày

Kỹ năng phòng chống các nguy cơ mất an toàn thông tin

Xu hướng, tình hình an toàn thông tin tại Việt Nam và trên thế giới

Quy tắc đạo đức an toàn thông tin

Kỹ năng xử lý sự cố mất an toàn thông tin

Khác

VỀ KHẢ NĂNG GIÁM SÁT ATTT Không có tiêu đề

18. Hệ thống của tổ chức đã từng bị tấn công mạng hay không (tính từ 1/2020)?
*

Không biết

Không bị tấn công

Có bị tấn công nhưng không rõ số lần

Có bị tấn công và được theo dõi đầy đủ

19. Nếu có thì các loại hình tấn công mà tổ chức của Quý vị gặp phải kể từ tháng 1/2020 là gì?
*

(Có thể lựa chọn nhiều đáp án)

Từ người bên ngoài vào mạng bên trong

Từ những người bên ngoài nhưng nắm rõ bên trong (ví dụ: do cán bộ cũ còn giữ mật khẩu, ...)

Người trong tổ chức (ví dụ: từ máy để bàn bên trong mạng xâm nhập trái phép vào máy tính chủ, ...)

Hệ thống nhiễm phải trojan hay rootkit (những mã độc hại – malware không tự lây lan được)

Hệ thống nhiễm phải virus hay worm (những mã độc hại - malware tự lây lan)

Các kiểu tấn công làm suy giảm hiệu năng mạng (ví dụ: dò quét (scan) mạng với cường độ cao gây quá tải)

Tấn công từ chối dịch vụ (DoS/DDoS)

Thay đổi diện mạo, nội dung website (trang chủ)

Phá hoại dữ liệu hay hệ thống (ví dụ cố tình xóa dữ liệu quan trọng)

Required

20. Theo Quý vị những động cơ nào được nghi ngờ là nguyên nhân gây ra những hành động tấn công ở trên?
*

(Có thể lựa chọn nhiều đáp án)

Không có động cơ rõ ràng (ví dụ: kẻ tấn công tình cờ tìm thấy điểm yếu và khai thác nó)

Nhằm chiếm dụng tài nguyên hệ thống để dẫn tới những cuộc tấn công nặc danh

Nhằm thể hiện kỹ năng tấn công

Tấn công có chủ đích APT

Thù hằn cá nhân

Cạnh tranh thương mại (ví dụ: tình báo công nghiệp)

Sử dụng cho mục đích cá nhân

Bị tấn công từ nước ngoài do các liên quan đến chủ quyền quốc gia

Tạo nguồn thu tài chính bất hợp pháp

Không rõ động cơ

Required

21. Hệ thống của tổ chức có khả năng ghi nhận các hành vi tấn công (kể cả chưa thành công) vào hệ thống của mình hay không?
*

Có

Không

22. Với tình hình tấn công mạng như hiện nay thì đối tượng nào mà Quý vị cho là lo ngại nhất là gì? (Đề nghị ghi 2 hạng mục (ví dụ A,B) theo thứ tự giảm dần tùy theo mức độ lo ngại trong số những hạng mục được liệt kê dưới đây).

A. Cán bộ đang làm việc tại công ty

B. Cán bộ đã nghỉ việc

C. Tội phạm máy tính như hacker bất hợp pháp

D. Đối thủ cạnhtranh (gián điệp công nghiệp)

E. Tội phạm máy tính có tổ chức (khủng bố mạng v.v…)

F. Doanh nghiệp gia công bên ngoài (cán bộ) Outsourcing company (employees)

G. Các thế lực đến từ nước ngoài

H. Những mối đe dọa khác (vui lòng nêu rõ):

23. Với tình hình dịch bệnh Covid-19 tổ chức Quí vị có tổ chức làm việc, hội họp qua mạng hay không? *

Nếu có thì tổ chức, doanh nghiệp Quí vị đang dùng phần mềm nào?

MS Teams

Zoom

Google Meet

Khác

Không

24. Khi tổ chức làm việc qua mạng, Quí vị có bị các vấn đề ATTT như lộ thông tin do chia sẻ tập tin qua hội họp, có người tham gia họp không theo kế hoạch hay không? *

Có

Không

25. Sau khi hết cách ly vì dịch bệnh Covid-19, Quý vị có tiếp tục đẩy mạnh làm việc, hội họp qua mạng hay không *

Có

Không

THỰC THI BIỆN PHÁP QUẢN LÝ (PHI KỸ THUẬT) VỚI ATTT

26. Tổ chức của Quý vị đã triển khai hệ thống quản lý ATTT (ISMS) theo các tiêu chuẩn trong nước hoặc quốc tế hay chưa? *

Nếu chưa có thì tổ chức của Quý vị có dự kiến triển khai Hệ thống quản lý ATTT (ISMS) không?

Không có kế hoạch

Chỉ triển khai ISMS và tuân thủ ISO/IEC 27001

Triển khai ISMS và tuân thủ ISO/IEC 27001 và lấy chứng nhận ISO/IEC 27001

Khác

Đã triển khai

27. Tổ chức của quí vị đã xây dựng và triển khai các qui trình nào sau đây? *

Quản lý rủi ro

Quản lý và phục hồi sự cố ATTT

Quản lý sơ hở

Quản lý thông tin và/hoặc thông tin cá nhân

28. Tổ chức của quý vị đã thực hiện các biện pháp phân loại, xác định trách nhiệm, sở hữu… tài sản thông tin hay không? *

Ví dụ: phân loại"mật", "nhạy cảm"... và/hoặc xác định rõ người chịu trách nhiệm về dữ liệu của Kế toán?

Có

Không

29. Việc quản lý cán bộ vận hành, khai thác, sử dụng hệ thống của tổ chức Quý vị có tuân thủ các chính sách về ATTT hay không? *

Có

Không

30. Tổ chức của Quý vị có các quy trình đánh giá, quản lý và xử lý rủi ro về ATTT không? *

Có

Không

31. Tổ chức của Quý vị có quy trình thao tác chuẩn (Standard operating procedures) để phản hồi lại các sự cố mất ATTThay không? *

Có

Không

32. Nếu hệ thống gặp sự cố mất ATTT, Quý vị sẽ thông báo tin này đến ai? (Đối với các vấn đề liên quan tới dịch vụ Internet như web, mail hosting) *

(Có thể lựa chọn nhiều đáp án)

Trong nội đơn vị/ bộ phận

Lãnh đạo cấp cao của tổ chức

Cơ quan cấp trên của tổ chức (nếu có)

Các tổ chức, doanh nghiệp xử lý sự cố ATTT

Cơ quan pháp luật (Công an, …)

Doanh nghiệp cung cấp dịch vụ Internet

Không thông báo

Required

33. Khi triển khai dự án Phát triển ứng dụng CNTT, Quý vị có thẩm định trước về ATTT của hệ thống không? *

Có

Không

34. Hệ thống của tổ chức có được kiểm tra, đánh giá ATTT hay không? *

Nếu có thì tổ chức của Quý vị thực hiện kiểm tra, đánh giá ATTT theo hình thức nào và nội dung gì?

Tự thực hiện đánh giá

Thuê đơn vị ngoài đánh giá khách quan

Đánh giá biện pháp quản lý ATTT (quy trình, nhân lực …)

Đánh giá hệ thống kỹ thuật (thiết bị phần cứng, phần mềm)

Thử nghiệm xâm nhập hệ thống để tìm ra lỗ hổng (Pentest)

CÁC BIỆN PHÁP KỸ THUẬT

35. Về an toàn vật lý:

Tổ chức Quý vị có các biện pháp kỹ thuật nào để bảo đảm an toàn về mặt vật lý?

Có hệ thống kiểm soát truy cập vào cơ quan và các khu vực quan trọng như sử dụng khóa, thẻ từ, bảo vệ, rào chắn, ...

Có các giải pháp vật lý bảo đảm an toàn cho các hệ thống máy chủ, thiết bị như chống sét, điều hòa, hút ẩm, ...

Kiểm soát vào ra bằng sinh trắc học ( kiểm tra vân tay, …)

Có các hệ thống Camera giám sát

36. Tổ chức Quý vị có sử dụng chữ ký số để bảo đảm an toàn cho các giao dịch điện tử hay không? *

Nếu có, xin hãy cho biết loại giao dịch sử dụng chữ ký số?

(Có thể lựa chọn nhiều đáp án)

Giao dịch trong nội bộ tổ chức

Giao dịch với các tổ chức, cá nhân bên ngoài tổ chức, các loại giao dịch ra bên ngoài có sử dụng chữ ký số: Giao dịch tài chính, giao dịch hành chính, ...

Không

Required

37. An toàn mạng:

Hệ thống mạng của tổ chức có được quy hoạch thành các vùng mạng chức năng hay không?

Nếu có xin vui lòng lựa chọn các vùng mạng chức năng được quy hoạch

(Có thể lựa chọn nhiều đáp án)

Vùng mạng kết nối hệ thống ra bên ngoài Internet (Outside)

Vùng mạng cho máy chủ dịch vụ công cộng (DMZ)

Vùng mạng cho máy chủ nội bộ (Server Farm)

Vùng mạng quản trị (Mamagement)

Vùng mạng nội bộ (Inside)

Không

Required

38. Hệ thống mạng của Quý vị sử dụng các công nghệ, biện pháp kỹ thuật nào dưới đây để bảo đảm ATTT? *

(Có thể lựa chọn nhiều đáp án)

Hệ thống phòng chống tấn công DoS/DDoS

Hệ thống phát hiện xâm nhập (IDS/IPS) trong mạng

Tường lửa (Network Firewall)

Phần mềm chống virus mức mạng (Anti-Virus)

Lọc nội dung Web

Bộ lọc chống thư rác (Anti-Spam)

Kiểm soát truy cập

Bảo mật mạng không dây

Hệ thống quản lý sự kiện an toàn thông tin (SIEM-Security Incident & Event Management)

Required

39. An toàn cơ sở dữ liệu

Hệ thống máy chủ, ứng dụng của Quý vị sử dụng các công nghệ, biện pháp kỹ thuật nào dưới đây để bảo đảm ATTT?

(Có thể lựa chọn nhiều đáp án)

Hệ thống phát hiện xâm nhập (IDS/IPS) trên máy chủ

Tường lửa (Firewall)

Phần mềm chống virus mã độc (Anti-Virus)

Tường lửa cho ứng dụng web

Hệ thống quản lý chống thất thoát dữ liệu (Data Loss protection)

Tường lửa cho Cơ sở dữ liệu

Quản lý truy cập

Bảo mật thiết bị di động

Required

40. Dữ liệu quan trọng trong hệ thống Quý vị có được mã hóa an toàn hay không? *

Có

Không

41. Dữ liệu quan trọng trong hệ thống của Quý vị có cơ chế sao lưu phục hồi, đảm bảo tính khả dụng của dữ liệu nào sau đây? *

Nếu có xin hãy cho biết giải pháp đã áp dụng

(Có thể lựa chọn nhiều đáp án)

Có hệ thống Backup (sao lưu) dữ liệu tập trung

Sử dụng các giải pháp giải pháp cluster, load-balancing...

Sử dụng cơ chế HA cho các thiết bị quan trọng

Có các hệ thống dự phòng và phục hồi sau thảm họa DR site

Có hệ thống UPS

Required

VẤN ĐỀ CHUNG

42. Những vấn đề khó khăn nhất quý vị gặp phải trong việc bảo đảm ATTT cho doanh nghiệp là gì? *

(Có thể lựa chọn nhiều đáp án)

Lãnh đạo chưa quan tâm về vấn đề ATTT

Chưa có kiến thức nền về ATTT

Nâng cao nhận thức cho người sử dụng về bảo mật máy tính

Xác định mức độ ưu tiên về ATTT so với các vấn đề khác của tổ chức

Cân bằng giữa việc áp dụng nguyên tắc quản lý rủi ro và mục tiêu kinh doanh, chi phí cho ATTT và rủi ro có thể chấp nhận được

Cập nhật kịp thời các phương thức tấn công mới

Việc phản ứng nhanh và chính xác khi xảy ra những vụ tấn công máy tính

Việc quản lý chặt chẽ cấu hình hệ thống mạng (Configuration Management)

Giải quyết mâu thuẫn giữa bảo mật thông tin cá nhân với nhu cầu quản lý của tổ chức

Quy định về ATTT hiện hành quá nhiều, khó hiểu dẫn đến khó thực thi

Khó khăn trong việc tìm kiếm nguồn lực về ATTT

Quy trình áp dụng ATTT khó khăn, phức tạp, tốn nhiều nhân lực và vật lực

Các vấn đề khác với các vấn đề nêu trên

Khác

Required

Xin chân thành cảm ơn Quý Anh/Chị đã tham gia khảo sát!

Submit

Clear form

Never submit passwords through Google Forms.

This content is neither created nor endorsed by Google. Report Abuse - Terms of Service - Privacy Policy

Forms