Access Control

1. Định nghĩa:
→ Access control là các biện pháp kiểm soát nhằm đảm bảo chỉ những người có thẩm quyền mới được phép truy cập vào hệ thống, dữ liệu hoặc khu vực vật lý nhất định, theo nguyên tắc "đúng người – đúng quyền – đúng thời điểm".
→ Ví dụ: Nhân viên phòng kế toán chỉ được truy cập hệ thống tài chính kế toán và không được quyền truy cập vào dữ liệu nhân sự.

2. Mục đích sử dụng:
→ Bảo vệ tài sản thông tin và hệ thống khỏi truy cập trái phép hoặc lạm dụng quyền truy cập.
→ Giảm thiểu nguy cơ rò rỉ dữ liệu, gian lận hoặc phá hoại hệ thống từ bên trong hoặc bên ngoài.
→ Tăng cường kiểm soát trách nhiệm và truy vết hoạt động người dùng.

3. Các bước áp dụng thực tế:
→ Xác định và phân loại hệ thống, dữ liệu, khu vực cần kiểm soát truy cập.
→ Thiết lập quyền truy cập dựa trên vai trò công việc (Role-Based Access Control – RBAC).
→ Cấp phát và thu hồi quyền truy cập theo quy trình phê duyệt rõ ràng.
→ Ghi nhận nhật ký truy cập và giám sát hành vi truy cập bất thường.
→ Định kỳ rà soát và cập nhật quyền truy cập để đảm bảo tính hợp lệ.

4. Lưu ý thực tiễn:
→ Quyền truy cập nên được cấp theo nguyên tắc tối thiểu (least privilege) – chỉ cấp đủ để thực hiện nhiệm vụ.
→ Nhân sự nghỉ việc hoặc thay đổi vị trí cần được thu hồi hoặc điều chỉnh quyền truy cập kịp thời.
→ Các quyền truy cập đặc biệt (admin, superuser) cần được giám sát chặt và có phê duyệt hai lớp.

5. Ví dụ minh họa:
→ Cơ bản: Cấp quyền truy cập phần mềm CRM cho nhân viên kinh doanh và cấm truy cập đối với bộ phận kỹ thuật.
→ Nâng cao: Doanh nghiệp sử dụng hệ thống IAM (Identity and Access Management) để kiểm soát toàn diện quyền truy cập trên toàn hệ thống CNTT.

6. Case Study Mini:
→ Tình huống: Một công ty bị mất dữ liệu tài chính do nhân viên cũ vẫn còn quyền truy cập sau khi nghỉ việc.
→ Giải pháp: Triển khai quy trình kiểm soát truy cập chặt chẽ, kết hợp danh sách nghỉ việc với hệ thống quản lý quyền và đánh giá định kỳ toàn bộ quyền truy cập.
→ Kết quả: Loại bỏ hoàn toàn nguy cơ truy cập trái phép từ người không còn trong tổ chức.

7. Câu hỏi kiểm tra nhanh (Quick Quiz):
Nguyên tắc nào sau đây nên áp dụng khi cấp quyền truy cập?
a. Cấp quyền truy cập đầy đủ để nhân viên chủ động xử lý mọi tình huống
b. Cấp quyền truy cập dựa trên mức độ thân cận với lãnh đạo
c. Cấp quyền tối thiểu cần thiết để thực hiện nhiệm vụ được giao
d. Cấp quyền cố định vĩnh viễn, không cần rà soát lại

8. Câu hỏi tình huống (Scenario-Based Question):
Một nhân viên chuyển từ bộ phận kinh doanh sang bộ phận pháp chế nhưng vẫn giữ quyền truy cập cũ. Những rủi ro có thể xảy ra là gì và doanh nghiệp cần triển khai kiểm soát nào?

9. Liên kết thuật ngữ liên quan:
→ Role-Based Access Control (RBAC): Kiểm soát truy cập theo vai trò
→ Privileged Access Management (PAM): Quản lý truy cập đặc quyền
→ Identity and Access Management (IAM): Quản trị định danh và truy cập
→ Data Privacy Control: Kiểm soát quyền riêng tư dữ liệu

10. Gợi ý hỗ trợ:
→ Gửi email: info@fmit.vn.
→ Nhắn tin qua Zalo: 0708 25 99 25.