angle-left null Các câu hỏi để kiểm tra mức độ an toàn khi chia sẻ dữ liệu
Trang chủ

09/12/2020 22:41

(data.gov.vn) Khi nhận được các yêu cầu chia sẻ dữ liệu, mỗi cơ quan, đơn vị luôn đặt ra rất nhiều câu hỏi cho chính mình và cơ quan yêu cầu chia sẻ dữ liệu để dẫn đến quyết định có chia sẻ hay không chia sẻ dữ liệu. Phần lớn các câu hỏi và trả lời thường liên quan đến mức độ đảm bảo an toàn về dữ liệu khi chia sẻ dữ liệu cho đối tác và việc sử dụng dữ liệu khai thác là hợp lý và đúng pháp luật. Vậy những câu hỏi đặt ra như thế nào để có thể bao quát toàn bộ các vấn đề quan tâm và kết quả trả lời của các câu hỏi đủ thông tin để cơ quan cung cấp chia sẻ dữ liệu quyết định

Khi nhận được các yêu cầu chia sẻ dữ liệu, mỗi cơ quan, đơn vị luôn đặt ra rất nhiều câu hỏi cho chính mình và cơ quan yêu cầu chia sẻ dữ liệu để dẫn đến quyết định có chia sẻ hay không chia sẻ dữ liệu. Phần lớn các câu hỏi và trả lời thường liên quan đến mức độ đảm bảo an toàn về dữ liệu khi chia sẻ dữ liệu cho đối tác và việc sử dụng dữ liệu khai thác là hợp lý và đúng pháp luật. Vậy những câu hỏi đặt ra như thế nào để có thể bao quát toàn bộ các vấn đề quan tâm và kết quả trả lời của các câu hỏi đủ thông tin để cơ quan cung cấp chia sẻ dữ liệu quyết định. Trên cơ sở kinh nghiệm của Úc, bài viết này sẽ tổng hợp các câu hỏi về quá trình trước, trong và sau đánh giá các yêu cầu khai thác dữ liệu để có cơ sở tham khảo sử dụng.

Trong bài viết này, các câu hỏi được đưa ra và không có câu trả lời như thế nào là đáp ứng. Câu trả lời và việc xác định câu trả lời có phù hợp để chia sẻ dữ liệu không là phụ thuộc vào tính huống thực tế của mỗi cơ quan đơn vị. Kết quả quyết định cuối cùng còn phụ thuộc vào phương pháp đánh giá, sự kết hợp các câu hỏi và câu trả lời. Để sử dụng các câu hỏi này, xin tham khảo bài Chia sẻ dữ liệu tại Úc: Nguyên tắc chia sẻ dữ liệu an toàn đã được giới thiệu trong loạt bài về chia sẻ kinh nghiệm các nguyên tắc chia sẻ dữ liệu an toàn tại Úc.

Khi nhận được yêu cầu về chia sẻ dữ liệu, cơ quan cung cấp dữ liệu sẽ xác định dữ liệu cần cung cấp, chia sẻ cho bên khai thác; xác định mục đích sử dụng dữ liệu, dữ liệu sử dụng cho các dự án nào; đánh giá đối tượng là con người sử dụng bên khai thác dữ liệu; đánh giá môi trường, bối cảnh sử dụng dữ liệu bên khai thác; đánh giá đầu ra là sản phẩm có sử dụng dữ liệu chia sẻ và tổng hợp việc đánh giá và quyết định.

Các câu hỏi trước khi thực hiện các đánh giá theo các nguyên tắc chia sẻ dữ liệu

  1. Chia sẻ dữ liệu sẽ mang lại lợi ích hoặc giá trị gì cho cá nhân, tổ chức, cộng đồng, và toàn xã hội không, phạm vi nào?
  2. Làm thế nào để lập và thực hiện thỏa thuận chia sẻ dữ liệu được thực hiện một cách hợp pháp, đúng quy định của pháp luật?
  3. Cơ quan có đủ điều kiện sẵn sàng cho việc quản lý việc chia sẻ hay không (ví dụ: có nhân lực, kỹ năng quản lý, dữ liệu, dịch vụ có sẵn không?). Nếu không, có cần một nhà cung cấp dịch vụ trung gian bên ngoài để hỗ trợ không?
  4. Đã xác định được nguồn dữ liệu sẽ được chia sẻ chưa?
  5. Nguồn dữ liệu có phù hợp với mục đích không mong muốn khai thác của đơn vị yêu cầu không?
  6. Có cần một nhà cung cấp dịch vụ hỗ trợ bên ngoài để cung cấp các dịch vụ dữ liệu cần thiết không (ví dụ: hỗ trợ xử lý, liên kết, lưu trữ dữ liệu)?
  7. Mức độ nhạy cảm đối với dữ liệu dự định chia sẻ đã được đánh giá chưa?
  8. Những chi phí nào liên quan đến việc chuẩn bị và chia sẻ dữ liệu?
  9. Cơ quan mình đã có các quy trình để quản trị dữ liệu, quản trị chia sẻ dữ liệu chưa?
  10. Các hoạt động, trình tự thực hiện để thực hiện chia sẻ như thế nào?

Các câu hỏi khi xem xét mục đích sử dụng dữ liệu, dự án sẽ sử dụng dữ liệu được khai thác từ chia sẻ.

  1. Mục đích khai thác dữ liệu có vì lợi ích công cộng và nó có đáp ứng mục đích kiểm tra không?
  2. Mọi thông tin liên quan đã được cung cấp để hỗ trợ đánh giá đề xuất việc chia sẻ chưa (ví dụ ai sẽ truy cập dữ liệu, cho mục đích gì, trong khoảng thời gian nào và điều gì sẽ xảy ra với dữ liệu khi dự án kết thúc)?
  3. Cần có những quy trình hoặc thỏa thuận quản trị nào để đánh giá, theo dõi và giám sát mục đích sử dụng?
  4. Ai sẽ đưa ra đánh giá về việc có nên tiến hành dự án khai thác hay không và họ có đủ khả năng để thực hiện đánh giá không?
  5. Có bất kỳ hạn chế nào đối với việc chia sẻ dữ liệu không (ví dụ như các hạn chế do pháp luật hoặc người quản lý dữ liệu quy định, đặc ra) về cách dữ liệu được chia sẻ có thể được sử dụng cho dự án?
  6. Kênh liên lạc với người yêu cầu đề nghị chia sẻ trước và trong quá trình đánh giá đề xuất sử dụng dữ liệu sẽ được quản lý như thế nào để tối đa hóa khả năng được chấp thuận? Phản hồi nào sẽ được cung cấp?
  7. Có cần phải có sự chấp thuận của một cơ quan có liên quan đến nội dung dữ liệu như vấn đề đạo đức, văn hóa, sở hữu trí tuệ… gì không?
  8. Có cần sự đồng ý từ các nhà cung cấp dữ liệu gốc, dữ liệu chủ không (dữ liệu đã khai thác từ nguồn dữ liệu của cơ quan khác)?
  9. Dự án có thể cung cấp những cơ hội hợp tác nào để cải thiện các quy trình của tổ chức?

Các câu hỏi được sử dụng khi đánh giá người sử dụng dữ liệu để đảm bảo người sử xử lý dữ liệu bên khai thác dữ liệu là đảm bảo an toàn.

  1. Quy trình cấp quyền cho người hoặc tổ chức yêu cầu để truy cập dữ liệu, nếu có? Ai tạo điều kiện cho quá trình này? Việc cấp quyền sẽ có hiệu lực trong bao lâu?
  2. Có cần phải có cam kết hoặc thỏa thuận ràng buộc pháp lý để điều chỉnh việc truy cập và sử dụng không? Ai cần hoàn thành cam kết hoặc thỏa thuận này?
  3. Bên khai thác có cần phải đáp ứng bất kỳ tiêu chí cụ thể nào để truy cập dữ liệu không (ví dụ: giữ giấy phép bảo mật hiện tại)? Những tiêu chí này là gì?
  4. Bên khai thác có lịch sử khai thác, xử lý dữ liệu tốt không?, đã từng vi phạm quy chế về khai thác dữ liệu không? Người dùng có cần phải tìm kiếm sự chứng thực về các hoạt động xử lý dữ liệu của họ từ một cán bộ có trách nhiệm trong tổ chức của họ không?
  5. Bên khai thác dữ liệu có cần được đào tạo về kỹ năng sử dụng, lưu trữ dữ liệu và kỹ thuật xử lý dữ liệu an toàn không? Ai phát triển và / hoặc cung cấp chương trình đào tạo?
  6. Có cần có những biện xử lý vi phạm, pháp trừng phạt nào đối với việc sử dụng sai dữ liệu? Những điều này có được cung cấp rõ ràng cho người dùng không?
  7. Có bất kỳ hạn chế nào đối với những người có thể để truy cập dữ liệu?

Các câu hỏi khi đánh giá môi trường dữ liệu chia sẻ được sử dụng bên tổ chức khai thác dữ liệu

  1. Bên khai thác sẽ kết nối, khai thác dữ liệu từ đâu, vị trí nào?
  2. Có cần phải đánh giá / kiểm tra các hệ thống, vị trí kết nối, khai thác này không?
  3. Việc giám sát các thiết bị vật lý, hạ tầng nào là phù hợp?
  4. Các giải pháp bảo mật nào cần phải được áp dụng? Việc phân loại bảo mật của dữ liệu có ảnh hưởng đến các yêu cầu bảo mật công nghệ thông tin của hệ thống sử dụng nó không?
  5. Có sự giám sát đối với việc sử dụng dữ liệu không?
  6. Chứng nhận về môi trường triển khai hạ tầng vật lý không? Nếu có thì chứng nhận bởi cơ quan nào?
  7. Các biện pháp kiểm soát có hạn chế việc lạm dụng (do nhầm lẫn hay cố ý), can thiệp, truy cập trái phép, sửa đổi, mất mát hoặc tiết lộ dữ liệu không?
  8. Người dùng có hiểu cách truy cập dữ liệu an toàn trong môi trường phần mềm lần phần cứng không? Có cần đào tạo không?
  9. Dữ liệu chuyển vào và ra khỏi môi trường kiểm soát của đơn vị sử dụng dữ liệ chia sẻ sẽ được quản lý như thế nào?

Các câu hỏi để đánh giá đối với dữ liệu chia sẻ cho bên khai thác để đảm bảo sự an toàn cho dữ liệu

  1. Còn những rủi ro nào về việc chia sẻ dữ liệu sau khi đã đánh giá rà soát dự án, mục đích sử dụng dữ liệu, nhân sự bên sử dụng dữ liệu, môi trường khai thác dữ liệu của bên sử dụng dữ liệu không?
  2. Có cần bắt buộc phải chia sẻ dữ liệu có định danh không hay có thể loại bỏ định danh trọng dữ liệu trước khi chia sẻ?
  3. Cách thức xử lý dữ liệu trước khi chia sẻ thế nào là thích hợp?
  4. Có vấn đề gì khác liên quan đến độ nhạy cảm của dữ liệu không ?(dữ liệu khi chia sẻ có nảy sinh vấn đề gì không? Ví dụ như tạo điều kiện cho bất cập nảy sinh hoặc những vi phạm pháp luật hoặc các hiệu ứng xấu trong xã hội?
  5. Nếu dữ liệu cần được tiền xử lý trước khi chia sẻ thì việc xử lý dữ liệu sẽ ảnh hưởng đến tiện ích, sự đáp ứng yêu cầu của bên khai thác dữ liệu? Điều này sẽ được thông báo như thế nào đến người dùng được cấp quyền?
  6. Dữ liệu liên quan nào được mong đợi có sẵn cho người dùng trong cùng môi trường với dữ liệu được chia sẻ?

Các câu hỏi đánh giá sản phẩm mới tạo ra trên cơ sở dữ liệu được chia sẻ (đầu ra) của bên khai thác sử dụng dữ liệu

  1. Đầu ra sẽ được phát hành công khai, dữ liệu mở hay được cung cấp, chia sẻ dữ liệu hạn chế, theo các thỏa thuận chia sẻ dữ liệu mới?
  2. Các quy tắc chia sẻ dữ liệu có đáp ứng được nhu cầu của người quản lý và người dùng dữ liệu không? Vai trò của sự hỗ trợ của cơ quan cung cấp dữ liệu đối với cơ quan, đơn vị sử dụng dữ liệu?
  3. Đầu ra có bảo vệ đầy đủ quyền riêng tư cá nhân và bí mật khác không?
  4. Đầu ra có cần phải được kiểm tra và phê duyệt trước khi chia sẻ cho nhiều đối tượng hơn không?
  5. Quy trình kiểm tra, tuân thủ các quy định liên quan như thế nào? Bên khai thác đã biết rõ các quy định nay chưa?
  6. Ai sẽ thực hiện việc kiểm tra kết quả đầu ra? Bên khai thác dữ liệu có kiểm tra đầu ra của chính họ không?
  7. Cần kiểm tra thêm những gì để đảm bảo an toàn đối với dữ liệu nhạy cảm như dữ liệu cá nhân, quyền sở hữu trí tuệ?
  8. Những người kiểm tra kết quả đầu ra hoặc sử dụng dữ liệu có cần đào tạo về quy trình không?

Các câu hỏi đánh giá tổng thể sau khi thực hiện các bước kiểm tra sự an toàn đối với mục đích, dự án, con người, dữ liệu và sản phẩm đầu ra

  1. Các biện pháp kiểm soát đã giảm thiểu rủi ro liên quan đến việc chia sẻ dữ liệu chưa?
  2. Nếu vẫn có những rủi ro không thể chấp nhận được, thì cần phải xem xét, đánh giá lại các nguyên tắc, nội dung nào?
  3. Cần có những quy trình hoặc quản trị, giám sát liên tục quá trình chia sẻ và sử dụng dữ liệu chia sẻ?
  4. Các biện pháp kiểm soát theo từng nguyên tắc được giám sát như thế nào để đảm bảo chúng vẫn phù hợp khi hoàn cảnh thay đổi?
  5. Kinh nghiệm đánh giá và làm thế nào để việc đánh giá các nội dung được thực hiện hiệu quả hơn trong lần tới? Các quy trình có đủ linh hoạt để thay đổi nếu được yêu cầu không?
  6. Báo cáo việc chia sẻ nào cần thiết lậpgửi cho cá nhân hoặc cơ quan nào?
  7. Quá trình chia sẻ dữ liệu có minh bạch và có thể được kiểm soát không?
  8. Các thỏa thuận chia sẻ dữ liệu trong dự án có nhắc đến phương án kết thúc thực hiện không; cơ chế chấm dứt thỏa thuận và xử lý việc chấm dứt thỏa thuận. Chẳng hạn như quy trình phá hủy an toàn có được tuân thủ không?
  9. Có thể quan sát hoặc giám sát quá trình hủy dữ liệu không? Thời gian nào thuưcj hiện việc này?
  10. Có quy trình được hiểu rõ để quản lý hậu quả nếu rủi ro khi chia sẻ dữ liệu không? Ví dụ: sự vi phạm bảo mật hoặc truy cập trái phép dữ liệu, các sự cố khác có liên quan?
  11. Dữ liệu có quyết định chia sẻ không và nếu chia sẻ thì phải chú ý điều gì, công việc phải làm tiếp theo là gì?

Trên đây là 60 câu hỏi được tham khảo từ kinh nghiệm Úc để phục vụ quá trình tự kiểm ra, đánh giá việc tiếp nhận, xử lý yêu cầu chia sẻ dữ liệu của một cơ quan Chính phủ cho một cơ quan, đơn vị, tổ chức khác. Mỗi một quốc gia, một cơ quan, một bối cảnh khác nhau sẽ có những vấn đề quan tâm khác nhau, tuy nhiên qua các câu hỏi này cũng có thể học hỏi, tham khảo được những kinh nghiệm nhất định để phục vụ quá trình vận dụng thực tế cho các cơ quan, đơn vị mình. Mục tiêu cuối cùng là dữ liệu phải được chia sẻ tối đa cho các cơ quan cần dữ liệu nhưng cũng phải đảm bảo sự an toàn, đúng pháp luật và việc đánh giá, rà soát ban đầu là bước rất quan trọng để đảm bảo việc chia sẻ dữ liệu được kiểm soát đồng thời có phương án xử lý sự cố khi sảy ra.

 

Tài liệu tham khảo

Nguyên tắc chia sẻ dữ liệu Úc


Tin xem nhiều

placeholder image

Hiện trạng triển khai các Cơ sở dữ liệu quốc gia