Tóm lược Khung Quản trị & Kiểm soát CNTT Doanh nghiệp
Buổi chia sẻ đã cung cấp một cái nhìn toàn diện từ cấp độ chiến lược đến thực thi kỹ thuật, giúp doanh nghiệp thiết lập hệ thống phòng thủ vững chắc nhưng vẫn đảm bảo tốc độ phát triển.
1. Mô hình 3 Tuyến Kiểm soát (IIA 2020)
Đây là cốt lõi để phân định trách nhiệm “Ai làm gì?”, “Ai giám sát?” và “Ai đảm bảo?”:
- Tuyến 1 (Chủ sở hữu rủi ro): Các phòng ban vận hành trực tiếp như IT Ops, DevOps, Data Science. Nhiệm vụ là triển khai và duy trì các biện pháp kiểm soát hàng ngày.
- Tuyến 2 (Giám sát & Thách thức): Gồm CISO, Quản trị rủi ro, Tuân thủ. Họ xây dựng chính sách, tiêu chuẩn và “thách thức” Tuyến 1 về hiệu quả bảo mật.
- Tuyến 3 (Đảm bảo độc lập): Kiểm toán nội bộ (KTNB). KTNB báo cáo trực tiếp cho HĐQT để đưa ra đánh giá khách quan về cả Tuyến 1 và Tuyến 2.
- Hội đồng Quản trị (Governing Body): Cần hiểu rủi ro thay vì kỹ thuật thuần túy. IT phải báo cáo bằng “ngôn ngữ kinh doanh” (ví dụ: thay vì nói về firewall, hãy nói về mức độ thiệt hại tài chính tiềm tàng).
2. Kiến trúc 4 Tầng Kiểm soát IT
Hệ thống kiểm soát không tồn tại độc lập mà bổ trợ lẫn nhau theo cấu trúc từ trên xuống:
- Tầng 1: Quản trị DN (COSO, ISO 31000): Nền tảng thiết lập môi trường kiểm soát và khẩu vị rủi ro (Risk Appetite).
- Tầng 2: Quản trị CNTT (COBIT 2019): Cầu nối giữa kinh doanh và CNTT, tách biệt rõ giữa Quản trị (Governance) và Ban điều hành (Management).
- Tầng 3: Quản lý ATTT (ISO 27001, NIST CSF 2.0): Các khung quản lý an toàn thông tin chuyên sâu. NIST CSF 2.0 hiện đã bổ sung thêm chức năng “Govern” để nhấn mạnh trách nhiệm của cấp lãnh đạo.
- Tầng 4: Kiểm soát Kỹ thuật (CIS, OWASP, PCI DSS): Các hành động kỹ thuật cụ thể như vá lỗi, mã hóa, bảo mật ứng dụng.
3. Quản trị AI (AI Governance) - Xu hướng mới
Quản trị AI không tách rời mà được tích hợp xuyên suốt vào 4 tầng kiểm soát trên:
- ISO 42001 (AIMS): Hệ thống quản lý AI có khả năng cấp chứng nhận, tập trung vào đạo đức, rủi ro bias (định kiến) và tính minh bạch của model.
- NIST AI RMF: Khung quản lý rủi ro linh hoạt giúp doanh nghiệp “Map” (nhận diện), “Measure” (đo lường) và “Manage” (xử lý) các rủi ro đặc thù của AI.
4. Sự cân bằng giữa Kiểm soát và Tốc độ
Doanh nghiệp không nên kiểm soát đồng đều mọi thứ mà cần dựa trên Khẩu vị rủi ro (Risk Appetite):
- Tăng kiểm soát khi: Rủi ro nội tại cao (dữ liệu thẻ, core system), có thay đổi về quy định pháp luật hoặc sau khi xảy ra sự cố.
- Ưu tiên tốc độ khi: Đang ở giai đoạn thử nghiệm (PoC), dữ liệu rủi ro thấp hoặc cần đổi mới sáng tạo nhanh để cạnh tranh.
- Nguyên tắc: Chi phí kiểm soát không được vượt quá giá trị của tài sản cần bảo vệ.
Slide Desk: IT_Governance_Framework_v5 2.pdf (1.3 MB)