mục  đích  không  lành  mạnh  khác,  ở  một  sô" tổ  chức,  lợi
       dụng sự lỏng lẻo trong quản lý về ATTT,  nhân viên đã có
       những hành vi bất lương như lấy cắp thông tin mật, chiếm
       đoạt  tài  khoản  khách  hàng  ,  ăn  cắp  tiền  thông  qua  hệ
       thông tín dụng... Theo thống kê, khoảng 70% các rủi ro về
       ATTT  là  xuất  phát  từ  nội  bộ  trong  tổ  chức.  Một  trong
       những câu hỏi luôn được đặt ra trưốc các nhà lãnh đạo và
       các  nhà  quản trị thông tin là:  “Hệ  thốhg thông tin của tô
       chức  an toàn  đến  mức  độ  nào?”  Câu  hỏi  này là  mối  quan
       tâm  lớn nhất và cũng là vấn  đề nhạy cảm nhất trong các
       khâu quản lý hệ thõng thông tin.
            Trả lòi câu hỏi này thật không đơn giản nhưng không
       phải là không có câu trả lòi.  Để giải đáp vấn đề trên, chủ
       yếu dựa vào hai phương pháp đánh giá ATTT như sau:
            + Phương pháp đánh giá theo chất lượng ATTT của hệ
       thống  bằng  cách  cho  điểm.  Ví  dụ:  hệ  thống  đạt  60/100
       điểm hoặc 60%.
           +  Phương pháp đánh giá theo số lượng thiết bị - công
       nghệ bảo mật.
           Trong thực tế,  phương pháp đánh giá theo chất lượng
       là phương pháp duy nhất để đánh giá mức độ an toàn của
       các tài nguyên trong hệ thống thông tin.  ở Việt Nam, việc
       đánh giá ATTT theo chất lượng là hoàn toàn mói. Người ta
       dễ  ngộ  nhận  việc  trang  bị  một  công  cụ  ATTT  như
       (Firewall,  Anti-virus...)  là  đảm  bảo  được  ATTT  cho  hệ
       thống.  Chất lượng ATTT phải được đánh giá trên toàn bộ
       các yếu tô" đảm bảo tính an toàn cho hệ thốing từ tổ chức,
       con người, an ninh vật lý, quản lý tài nguyên... đến việc sử
       dụng  các  công  cụ  kỹ  thuật.  Nói  cách  khác,  chất  lượng
       ATTT được đánh giá trên cơ sở thực thi các chính sách về
       ATTT trong hệ thông.  Các chính sách này được chuẩn hoá
       và được công nhận là các tiêu chuẩn về ATTT áp dụng trên
       phạm vi toàn thê" giới.


       138