QUY ĐỊNH VÀ THỰC HIỆN ĐÁNH GIÁ RỦI RO AN TOÀN THÔNG TIN
INFORMATION SECURITY RISK ASSESSMENT POLICY AND PROCEDURE
Mã tài liệu (Document No.): VA-ISMS-PR-007
Phiên bản (Version): 1.0
Ngày hiệu lực (Effective Date): 02/07/2025
Phê duyệt bởi (Approved by): Tổng Giám đốc (Chief Executive Officer)
1. Mục đích | Purpose
Tiếng Việt
Quy định này được ban hành nhằm thiết lập phương pháp thống nhất để nhận diện, phân tích, đánh giá, xử lý và giám sát các rủi ro an toàn thông tin, bảo đảm các rủi ro được quản lý phù hợp với mức độ chấp nhận rủi ro của Công ty và hỗ trợ việc đạt được các mục tiêu kinh doanh.
English
This Policy establishes a consistent methodology for identifying, analyzing, evaluating, treating, and monitoring information security risks to ensure that risks are managed within the Company’s risk appetite and support business objectives.
2. Phạm vi áp dụng | Scope
Quy định này áp dụng đối với:
- Tất cả hệ thống CNTT, ứng dụng, cơ sở dữ liệu, dịch vụ Cloud và tài sản thông tin của Công ty;
- Các quy trình nghiệp vụ, dự án, sản phẩm và dịch vụ của Công ty;
- Dữ liệu của Công ty và dữ liệu của khách hàng được quản lý hoặc xử lý bởi Công ty;
- Tất cả nhân viên, đối tác, nhà cung cấp và bên thứ ba có liên quan.
This Policy applies to all information assets, business processes, systems, applications, cloud services, customer data, and related stakeholders of Vina Aspire.
3. Căn cứ áp dụng | References
- ISO/IEC 27001:2022 – Clause 6, Clause 8;
- ISO/IEC 27005:2022 – Information Security Risk Management;
- ISO/IEC 31000:2018 – Risk Management Guidelines;
- NIST Cybersecurity Framework;
- Các quy định pháp luật hiện hành và cam kết với khách hàng.
4. Nguyên tắc quản lý rủi ro | Risk Management Principles
Vina Aspire áp dụng các nguyên tắc:
- Dựa trên rủi ro (Risk-Based Approach);
- Gắn với mục tiêu kinh doanh (Business Alignment);
- Thực hiện thường xuyên và liên tục (Continuous Assessment);
- Có trách nhiệm giải trình (Accountability);
- Có thể truy vết và kiểm chứng (Traceability and Verifiability);
- Cải tiến liên tục (Continuous Improvement).
Vina Aspire adopts a risk-based, business-aligned, continuous, accountable, traceable, and continually improving approach.
5. Vai trò và trách nhiệm | Roles and Responsibilities
Ban Lãnh đạo | Management
- Phê duyệt chính sách, phương pháp và khẩu vị rủi ro (Risk Appetite);
- Phê duyệt việc chấp nhận rủi ro ở mức cao;
- Giám sát tình hình rủi ro của Công ty.
Approve the methodology, risk appetite, high-risk acceptance, and oversee the Company’s risk posture.
Bộ phận CNTT và An toàn thông tin | IT and Information Security
- Tổ chức thực hiện đánh giá rủi ro;
- Duy trì Risk Register;
- Đề xuất biện pháp xử lý;
- Theo dõi việc thực hiện.
Conduct risk assessments, maintain the Risk Register, propose treatments, and monitor implementation.
Chủ sở hữu tài sản | Asset Owners
- Xác định tài sản và giá trị tài sản;
- Đánh giá tác động của rủi ro;
- Phối hợp xử lý và giám sát rủi ro.
Identify assets, assess impacts, and participate in risk treatment activities.
Người sử dụng | Users
- Báo cáo các rủi ro và sự cố phát hiện được;
- Tuân thủ các biện pháp kiểm soát được ban hành.
Report identified risks and comply with implemented controls.
6. Quy trình đánh giá rủi ro | Risk Assessment Process
Bước 1. Xác định bối cảnh
Step 1. Establish Context
Xác định:
- Phạm vi đánh giá;
- Mục tiêu kinh doanh;
- Tài sản thông tin;
- Các yêu cầu pháp lý, hợp đồng và khách hàng.
Define the assessment scope, business objectives, information assets, and legal or contractual requirements.
Bước 2. Nhận diện rủi ro
Step 2. Risk Identification
Nhận diện:
- Tài sản (Assets);
- Mối đe dọa (Threats);
- Lỗ hổng (Vulnerabilities);
- Các biện pháp kiểm soát hiện hữu (Existing Controls);
- Hậu quả tiềm tàng (Potential Consequences).
Identify assets, threats, vulnerabilities, existing controls, and potential consequences.
Bước 3. Phân tích rủi ro
Step 3. Risk Analysis
Đánh giá:
Khả năng xảy ra (Likelihood)
| Điểm | Mô tả |
|---|---|
| 1 | Hiếm khi xảy ra |
| 2 | Ít xảy ra |
| 3 | Có thể xảy ra |
| 4 | Thường xuyên xảy ra |
| 5 | Gần như chắc chắn |
Mức độ ảnh hưởng (Impact)
| Điểm | Mô tả |
|---|---|
| 1 | Không đáng kể |
| 2 | Thấp |
| 3 | Trung bình |
| 4 | Cao |
| 5 | Nghiêm trọng |
Likelihood and impact shall be assessed using a five-point scale ranging from Very Low (1) to Very High (5).
Bước 4. Đánh giá rủi ro
Step 4. Risk Evaluation
Công thức tính điểm rủi ro
Risk Score Formula
Điểm rủi ro = Khả năng xảy ra × Mức độ ảnh hưởng
Risk Score = Likelihood × Impact
Ma trận đánh giá rủi ro
Risk Matrix
| Điểm rủi ro | Mức độ | Risk Level |
|---|---|---|
| 1 – 5 | Thấp | Low |
| 6 – 10 | Trung bình | Medium |
| 11 – 15 | Cao | High |
| 16 – 25 | Nghiêm trọng | Critical |
7. Xử lý rủi ro | Risk Treatment
Đối với mỗi rủi ro, Công ty có thể áp dụng một hoặc kết hợp các biện pháp sau:
Giảm thiểu rủi ro | Mitigate
Triển khai các biện pháp kiểm soát nhằm giảm khả năng xảy ra hoặc giảm tác động.
Implement controls to reduce likelihood and/or impact.
Chuyển giao rủi ro | Transfer
Chuyển giao một phần hoặc toàn bộ rủi ro thông qua bảo hiểm hoặc hợp đồng với bên thứ ba.
Transfer risks through insurance or contractual arrangements.
Tránh rủi ro | Avoid
Loại bỏ hoạt động hoặc nguyên nhân gây ra rủi ro.
Eliminate activities causing the risk.
Chấp nhận rủi ro | Accept
Chấp nhận rủi ro còn lại nằm trong ngưỡng cho phép.
Accept residual risks within approved tolerance levels.
8. Khẩu vị rủi ro | Risk Appetite
| Mức độ | Quy định xử lý |
|---|---|
| Low | Chấp nhận và theo dõi |
| Medium | Có kế hoạch xử lý |
| High | Phải triển khai biện pháp xử lý và theo dõi |
| Critical | Phải xử lý ngay và báo cáo Ban Lãnh đạo |
| Risk Level | Treatment Requirement |
|---|---|
| Low | Accept and monitor |
| Medium | Develop treatment plan |
| High | Implement controls and monitor |
| Critical | Immediate action and management escalation |
9. Đăng ký rủi ro | Risk Register
Tối thiểu phải bao gồm:
- Mã rủi ro (Risk ID);
- Tài sản liên quan (Asset);
- Mô tả rủi ro (Risk Description);
- Mối đe dọa (Threat);
- Lỗ hổng (Vulnerability);
- Chủ sở hữu rủi ro (Risk Owner);
- Khả năng xảy ra (Likelihood);
- Mức độ ảnh hưởng (Impact);
- Điểm rủi ro (Risk Score);
- Biện pháp xử lý (Treatment Plan);
- Thời hạn xử lý (Due Date);
- Trạng thái (Status).
10. Tần suất đánh giá | Assessment Frequency
Đánh giá rủi ro phải được thực hiện:
- Tối thiểu một (01) lần mỗi năm;
- Khi triển khai hệ thống, dự án hoặc dịch vụ mới;
- Khi có thay đổi lớn về công nghệ hoặc hạ tầng;
- Khi xảy ra sự cố bảo mật nghiêm trọng;
- Theo yêu cầu của khách hàng hoặc cơ quan quản lý.
Risk assessments shall be conducted at least annually and whenever significant changes, incidents, or regulatory requirements occur.
11. Giám sát và rà soát | Monitoring and Review
- Theo dõi tình trạng thực hiện các biện pháp xử lý;
- Định kỳ cập nhật Risk Register;
- Đánh giá hiệu quả của các biện pháp kiểm soát;
- Báo cáo định kỳ cho Ban Lãnh đạo.
Monitor treatment actions, update the Risk Register, evaluate control effectiveness, and report to Management.
12. Hồ sơ và lưu trữ | Records and Retention
Các hồ sơ phải được lưu giữ:
- Báo cáo đánh giá rủi ro;
- Risk Register;
- Hồ sơ xử lý rủi ro;
- Hồ sơ chấp nhận rủi ro;
- Biên bản rà soát định kỳ.
Thời gian lưu giữ tối thiểu: ba (03) năm hoặc theo quy định pháp luật và yêu cầu của khách hàng.
Minimum retention period: three (03) years or as required by law and contractual obligations.
13. Tuân thủ | Compliance
Quy định này phù hợp với:
- ISO/IEC 27001:2022;
- ISO/IEC 27005:2022;
- ISO 31000:2018;
- NIST Cybersecurity Framework;
- Các yêu cầu pháp luật và hợp đồng với khách hàng.
This Procedure is aligned with ISO/IEC 27001:2022, ISO/IEC 27005:2022, ISO 31000:2018, the NIST Cybersecurity Framework, and applicable legal and contractual requirements.
14. Hiệu lực thi hành | Effective Date
Quy định này có hiệu lực kể từ ngày được Tổng Giám đốc phê duyệt và là một phần của Hệ thống Quản lý An toàn Thông tin (ISMS) của Công ty TNHH Vina Aspire.
This Procedure becomes effective upon approval by the Chief Executive Officer and forms an integral part of the Information Security Management System (ISMS) of Vina Aspire Company Limited.
Vina Aspire
