Sự quen thuộc với Bảo mật CNTT

Vai trò

Ý nghĩa đối với BA

Đảm bảo an toàn cho dữ liệu nghiệp vụ

Khi thu thập, phân tích dữ liệu, BA cần đảm bảo dữ liệu không bị rò rỉ.

Xác định yêu cầu bảo mật cho dự án

BA cần viết các yêu cầu phi chức năng liên quan đến bảo mật.

Tuân thủ luật pháp và quy định

Hiểu các tiêu chuẩn như GDPR, ISO 27001, HIPAA để đảm bảo tuân thủ.

Làm việc hiệu quả với team kỹ thuật

Hiểu khái niệm bảo mật để giao tiếp, phân tích và hỗ trợ triển khai giải pháp.

Nguyên tắc

Ý nghĩa

Bảo mật (Confidentiality)

Đảm bảo thông tin chỉ những người có quyền mới truy cập được.

Toàn vẹn (Integrity)

Thông tin không bị thay đổi sai lệch trong quá trình lưu trữ hoặc truyền tải.

Sẵn sàng (Availability)

Hệ thống luôn hoạt động, dữ liệu sẵn có khi cần thiết.

Xác thực (Authentication)

Xác minh danh tính người dùng hoặc hệ thống.

Ủy quyền (Authorization)

Kiểm soát ai được phép làm gì với dữ liệu hoặc hệ thống.

Loại Rủi ro

Mô tả

Truy cập trái phép

Người không được phép truy cập vào hệ thống hoặc dữ liệu.

Rò rỉ dữ liệu (Data Leakage)

Dữ liệu bị tiết lộ ra ngoài không đúng mục đích.

Tấn công mạng (Cyber Attack)

Các cuộc tấn công như DDoS, phishing, ransomware.

Mã độc (Malware)

Phần mềm độc hại xâm nhập và phá hoại hệ thống.

Lỗi con người (Human Error)

Người dùng vô tình làm rò rỉ thông tin, xóa nhầm dữ liệu.

Yêu cầu

Mô tả

Mã hóa dữ liệu (Data Encryption)

Bảo vệ dữ liệu trong quá trình lưu trữ và truyền tải.

Xác thực người dùng (User Authentication)

Đảm bảo chỉ người dùng hợp lệ mới truy cập hệ thống.

Phân quyền truy cập (Access Control)

Giới hạn những ai có thể xem, sửa, xóa dữ liệu.

Ghi log và giám sát (Logging & Monitoring)

Theo dõi các hoạt động để phát hiện xâm nhập.

Sao lưu và phục hồi dữ liệu (Backup & Recovery)

Đảm bảo dữ liệu có thể phục hồi khi gặp sự cố.

Chuẩn/Quy định

Ý nghĩa

ISO/IEC 27001

Tiêu chuẩn quốc tế về quản lý an toàn thông tin.

GDPR

Quy định bảo vệ dữ liệu cá nhân của EU.

PCI DSS

Chuẩn bảo mật thông tin thẻ thanh toán.

HIPAA

Quy định bảo vệ dữ liệu y tế tại Mỹ.

NIST

Khung bảo mật của Viện Tiêu chuẩn và Công nghệ Mỹ.

Công cụ/Kỹ thuật

Chức năng

SSL/TLS

Mã hóa dữ liệu khi truyền qua Internet.

OAuth, JWT

Cơ chế xác thực và ủy quyền an toàn.

MFA (Multi-Factor Authentication)

Xác thực nhiều lớp (mật khẩu + OTP, v.v.).

Firewall, IDS/IPS

Ngăn chặn và phát hiện tấn công mạng.

Data Masking

Che giấu dữ liệu nhạy cảm khi hiển thị.

Vai trò cụ thể

Giải thích

Xác định yêu cầu bảo mật từ đầu dự án

Làm rõ dữ liệu nhạy cảm, cách bảo vệ.

Hỗ trợ phân tích rủi ro

Phối hợp với team kỹ thuật đánh giá nguy cơ tiềm ẩn.

Viết yêu cầu phi chức năng về bảo mật

Đảm bảo hệ thống tuân thủ các tiêu chuẩn bảo mật.

Làm việc với nhà cung cấp bên ngoài

Kiểm tra giải pháp của đối tác có đảm bảo bảo mật.

Tham gia kiểm thử bảo mật (Security Testing)

Xác nhận hệ thống đáp ứng các yêu cầu bảo mật đã đề ra.