Các ví dụ điển hình về kiểm tra hệ thống quản lý cơ sở hạ tầng tài chính điện tử

Số lượng nạn nhân đang ngày càng gia tăng do các vụ lừa đảo tài chính khác nhau như lừa đảo qua điện thoại (voice phishing), đường dẫn URL độc hại, thiết bị di động, tài khoản ngân hàng, sử dụng thẻ, ngân hàng trực tuyến và xác thực ARS. Gần đây, các phương thức tấn công mạng và lừa đảo đang trở nên tinh vi hơn, lợi dụng nhiều lỗ hổng khác nhau như dịch vụ ngân hàng mở (open banking), thanh toán đơn giản (pay), hacker sử dụng thông tin cá nhân bị rò rỉ, hoặc chiếm quyền điều khiển máy tính và điện thoại di động của nạn nhân. Nhận thấy mức độ nghiêm trọng từ những phản hồi xung quanh về việc hiểu lầm ngày càng lớn của những người chưa từng bị hack — do cơ quan tài chính và các công ty tài chính không công khai chi tiết quy trình xảy ra sự cố cũng như phương thức hack cho người tiêu dùng — chúng tôi đã biên soạn tài liệu đào tạo này. Rất mong quý vị nhận thức chính xác về các phương thức tấn công mạng, đồng thời hiểu rõ các luật định và chính sách liên quan để thiết lập hệ thống phòng ngừa phù hợp và tăng cường phương án ứng phó. (Theo luật hiện hành, cá nhân phải tự chịu trách nhiệm khi xảy ra sự cố).

- Tăng cường hiểu biết về việc kiểm tra theo các hạng mục đánh giá tác động thông tin cá nhân - Tìm kiếm và cải thiện lỗi trong sơ đồ luồng thông tin cá nhân - Xác định và cải thiện các yếu tố xâm phạm thông tin cá nhân - Hiểu biết về đánh giá tác động thông tin cá nhân và tìm kiếm lỗi - Hiểu biết về Luật Bảo vệ Thông tin Cá nhân và tìm kiếm lỗi

- Giáo dục kiểm tra chứng nhận hệ thống quản lý bảo mật thông tin và bảo vệ thông tin cá nhân hàng đầu quốc gia của khu vực công và tư nhân - Chuẩn bị tăng cường chứng nhận ISMS-P do việc thiết lập đối책tổng hợp bảo mật thông tin - Giáo dục kiểm tra GAP hệ thống quản lý và thiết lập kế hoạch cải thiện - Giáo dục từng loại: kiểm tra ban đầu ISMS-P, kiểm tra hậu kiểm, kiểm tra gia hạn - Giáo dục chuyên môn bảo mật thông tin để đạt được chứng nhận doanh nghiệp có trình độ bảo mật thông tin xuất sắc

- Đào tạo chuyên sâu chuẩn bị cho kỳ đánh giá chứng nhận ISMS-P của Viện Bảo mật Tài chính (FSI) - Nắm bắt luồng công việc bảo mật thông tin và lập kế hoạch cải thiện cho các công ty Fintech và tài chính điện tử - Quy trình đăng ký đánh giá chứng nhận ISMS-P sau khi phân tích và đánh giá lỗ hổng cơ sở hạ tầng tài chính điện tử theo Quy định giám sát tài chính điện tử - Cải thiện quy trình ứng phó sự cố xâm nhập và hướng dẫn ứng phó rò rỉ dữ liệu của các công ty tài chính - Bí quyết lập sơ đồ luồng thông tin cá nhân, thiết lập hệ thống quản lý thông tin tín dụng cá nhân và nộp báo cáo kết quả vận hành theo Luật Thông tin tín dụng

Với các sự cố hack liên tục xảy ra từ 2025 đến nay, việc bổ sung kiểm thử xâm nhập (Pentest) vào chứng nhận ISMS-P đã được xác định (chính thức). Cùng với sự cân bằng giữa công việc - cuộc sống (work-life balance) và tầm quan trọng ngày càng tăng của các chuyên gia Pentest, cần có một môi trường để họ có thể phát triển. Khác với các lĩnh vực bảo mật thông tin khác, chuyên gia Pentest chỉ có thể thực hành và xây dựng portfolio khi có môi trường thực tế. Khác với môi trường Pentest đầu tiên chỉ cung cấp không gian thực hành, môi trường Pentest thứ hai này cho phép bạn trực tiếp xây dựng trang web, trang bị đầy đủ các tính năng quản trị đa dạng hơn và cả tính năng thanh toán thực tế! Đã hoàn thành việc triển khai kịch bản xâm nhập mô phỏng để đạt được các mục tiêu thực tế! ~Hãy cùng mài giũa kỹ năng Pentest phù hợp với các hạng mục kiểm thử hạ tầng thông tin liên lạc trọng yếu năm 2026 và trở thành những chuyên gia Pentest hàng đầu trong nước~!!

Vụ rò rỉ thông tin cá nhân gần đây của Coupang đã được ghi nhận là vụ rò rỉ lớn nhất trong lịch sử Hàn Quốc, với dữ liệu của gần như toàn bộ người dân Hàn Quốc bị lộ lọt. Tuy nhiên, vấn đề về tính hiệu quả của chứng chỉ ISMS-P chỉ được khép lại bằng những giải pháp cải thiện vô nghĩa như kiểm tra xâm nhập (pentest) hay hủy bỏ chứng nhận. Tính đến ngày 11 tháng 12 năm 2025, Coupang và các đơn vị khác – vốn là đối tượng của hệ thống đánh giá chính sách xử lý thông tin cá nhân do Ủy ban Bảo vệ Thông tin Cá nhân thực hiện năm 2024 – vẫn đang vận hành sai lệch so với tiêu chuẩn đánh giá ở hơn 10 hạng mục khác nhau. Lý do là bởi vấn đề con người, bao gồm đội ngũ thông tin cá nhân của Coupang – những chuyên gia hàng đầu trong và ngoài nước, và các kiểm tra viên ISMS-P – những người sở hữu chứng chỉ chuyên gia cao cấp nhất. Rõ ràng, chỉ với những kiến thức cơ bản của Luật Bảo vệ thông tin cá nhân, chúng ta đã có thể ngăn chặn được toàn bộ các vụ rò rỉ tại Coupang cũng như tại Gmarket, Netmarble, SKT, KT, LG U+, v.v. Tuy nhiên, thực trạng là các vụ tai nạn vẫn liên tiếp xảy ra do vấn đề con người, cụ thể là sự thiếu sót trong kiểm tra sơ bộ và sự khác biệt trong cách giải thích luật pháp, dẫn đến việc thông tin cá nhân của khách hàng không được bảo vệ hoặc các biện pháp bảo vệ thích hợp không được thiết lập và vận hành. Thông qua bài giảng này, với mong muốn bảo vệ thông tin cá nhân cho khách hàng thông qua phương pháp kiểm tra đúng đắn và đào tạo chuyên sâu để xóa bỏ các điểm mù, bạn có thể trang bị cho mình năng lực đánh giá thông tin cá nhân một cách minh bạch và khách quan.

Trong bối cảnh lo ngại của khách hàng ngày càng tăng do các sự cố rò rỉ thông tin cá nhân ngày càng mở rộng, các doanh nghiệp cho đến nay vẫn đang vận hành hệ thống quản lý dựa trên tiêu chuẩn ISMS-P/ISO27701 (thông qua luật sư, v.v.) và thực hiện kiểm thử xâm nhập (thiết lập RED TEAM, ví dụ: Coupang) bao gồm những người từng đoạt giải tại các cuộc thi hack trong và ngoài nước. Tuy nhiên, các hệ thống này vẫn chưa thể nhận diện thông tin cá nhân và thực hiện các biện pháp an toàn một cách đúng đắn, dẫn đến tình trạng ngay cả những doanh nghiệp chưa xảy ra sự cố cũng có thể gặp rủi ro rò rỉ bất cứ lúc nào. - Lý do là vì những người phụ trách thông tin cá nhân đang tự tạo ra các "điểm mù" không được quản lý, chẳng hạn như phương pháp nhận đồng ý từ khách hàng còn thiếu sót và việc nhận diện hiện trạng xử lý thông tin cá nhân chưa đầy đủ. -> Do đó, cần phải chia sẻ các mức phạt hành chính/tiền phạt liên quan đến tờ khai đồng ý và chính sách xử lý của các doanh nghiệp trong nước (tính đến ngày 08/12/2025) để cải thiện quy trình làm việc, nhằm nâng cao tính chuyên môn của người phụ trách và công khai minh bạch các biện pháp bảo vệ thông tin cá nhân đúng chuẩn cho khách hàng.

(Không có âm thanh) Hầu hết các doanh nghiệp lớn và tổ chức tài chính hiện nay không chỉ dừng lại ở kiểm thử xâm nhập (Pentest) thông thường mà còn tiến hành diễn tập xâm nhập thực tế. Do đó, gần đây việc thành lập các bộ phận mới và đảm bảo năng lực thực hiện xâm nhập theo đúng nghĩa của thuật ngữ RED TEAM là rất cần thiết. Vì vậy, ngoài việc kiểm thử xâm nhập WEB và APP đơn thuần, chúng tôi đã mở khóa đào tạo thực hành các kịch bản xâm nhập máy chủ dẫn đến rò rỉ thông tin cá nhân quy mô lớn. + Cung cấp môi trường máy chủ và website để thực hiện diễn tập xâm nhập + Chia sẻ các công cụ và phương pháp tấn công (hacking)

- Đây là dự án thực hành tấn công giả lập (pentest) bằng cách cài đặt ứng dụng thực tế lên điện thoại và sử dụng các công cụ hack, dựa trên tiêu chuẩn kiểm tra cơ sở hạ tầng tài chính điện tử và tiêu chuẩn kiểm tra dịch vụ công đối với ứng dụng di động. - Khóa học này không chỉ giúp bạn hiểu về tấn công giả lập ứng dụng di động mà còn giúp xóa bỏ nỗi sợ hãi, đồng thời học hỏi được bí quyết kiểm tra, cách viết báo cáo kết quả và phương pháp giao tiếp.

- Cung cấp môi trường thử nghiệm xâm nhập và công cụ kiểm tra - Thực hành thử nghiệm xâm nhập WEB theo phiên bản sửa đổi năm 2026 của Cơ sở hạ tầng thông tin và truyền thông trọng yếu - Thực hành thử nghiệm xâm nhập WEB theo phiên bản sửa đổi năm 2026 của Cơ sở hạ tầng tài chính điện tử - Đánh giá và chia sẻ về các lỗ hổng tồn tại trên trang web - Đào tạo phương pháp lập báo cáo thử nghiệm xâm nhập và phương án cải thiện

- Đào tạo phương pháp kiểm tra phù hợp với các hạng mục kiểm tra hệ thống quản lý đám mây trong tiêu chuẩn đánh giá phân tích lỗ hổng hạ tầng tài chính điện tử. - Kiểm tra việc áp dụng các biện pháp bảo vệ theo yêu cầu của Quy định Giám sát Tài chính Điện tử phù hợp với từng môi trường đám mây và ảo hóa. - Tổng hợp các nội dung cần bao gồm trong việc thiết lập quy định và quy trình bảo mật đám mây. - Thu thập tài liệu chứng cứ phục vụ cho công tác đánh giá và chứng nhận môi trường đám mây.

- Học về các hạng mục đánh giá bảo mật thông tin thường xuyên được thực hiện hàng năm đối với các công ty tài chính, Tăng cường khả năng chuẩn bị và ứng phó với tư cách là người phụ trách bảo mật tài chính - Học dựa trên các trường hợp đánh giá bảo mật thông tin thường xuyên đạt cấp độ cao nhất, Giáo dục bí quyết đạt được và duy trì cấp độ cao nhất trong đánh giá bảo mật thông tin thường xuyên

- Tiêu chuẩn theo Sổ tay Đánh giá Mức độ Bảo vệ Thông tin Cá nhân năm 2025 - Đề xuất phương án áp dụng các ví dụ điển hình về bảo vệ thông tin cá nhân thuộc top 1% trong các cơ quan công quyền - Phân tích các yếu tố gây trừ điểm theo từng chỉ số định lượng và định tính - Đề xuất các trường hợp áp dụng dữ liệu tổng hợp (Công nghệ tăng cường quyền riêng tư - PETs) để đảm bảo điểm số cho các chỉ số công nghệ mới (điểm cộng) - Cung cấp các trường hợp thiết lập khu vực an toàn để khai thác thông tin cá nhân, xây dựng sổ tay hướng dẫn, thành tích công khai, các trường hợp báo cáo lên CEO, v.v.

- Thiết lập kế hoạch huấn luyện và hướng dẫn ứng phó sự cố xâm nhập - Giới thiệu các kịch bản huấn luyện như tấn công mô phỏng (Penetration Testing), DDoS, APT, v.v. - Chia sẻ chiến lược trung và dài hạn về bảo mật thông tin của các doanh nghiệp hàng đầu trong nước (~2027 hoặc ~2030) - Giới thiệu các hoạt động bảo mật thông tin của các doanh nghiệp hàng đầu trong nước - Đào tạo về các trường hợp áp dụng Khung quản lý rủi ro (RMF) và Zero Trust trong hệ thống bảo mật tự chủ của các công ty tài chính điện tử

- Hiểu về việc thiết lập và kiểm tra hệ thống quản lý thông tin cá nhân theo Luật Bảo vệ Thông tin Cá nhân - Kiểm tra và nắm bắt hiện trạng các hệ thống xử lý thông tin cá nhân - Lập bảng và sơ đồ luồng thông tin cá nhân - Rút ra các yếu tố xâm phạm thông tin cá nhân - Công khai bản tóm tắt đánh giá tác động thông tin cá nhân

- Sửa đổi chính sách để thiết lập hệ thống quản lý đám mây (hợp đồng CSP/MSP và hợp đồng SaaS) - Kiểm tra lỗ hổng bảo mật để đối phó với chứng nhận ISMS-P/ISO27001 của môi trường đám mây hoặc cơ sở hạ tầng thông tin liên lạc/tài chính điện tử chủ chốt (nhận diện tài sản công cộng/riêng tư và xử lý lỗ hổng bảo mật) - Vận hành bảo mật môi trường đám mây và ứng phó sự cố xâm nhập - Đối phó chứng nhận ISO27017&ISO27018

Xây dựng và nộp báo cáo kết quả hoạt động hàng năm, bao gồm thiết lập quy định bảo mật thông tin và chuẩn bị các minh chứng hoạt động dựa trên tiêu chuẩn đánh giá rủi ro cho lĩnh vực quản lý và vật lý của Cơ sở hạ tầng thông tin liên lạc trọng yếu (sửa đổi nửa cuối năm 2025), áp dụng các chứng nhận trong và ngoài nước liên quan đến hệ thống quản lý bảo mật thông tin cùng tiêu chuẩn kiểm toán nội bộ/bên ngoài. Chuẩn bị sẵn sàng cho các thay đổi môi trường bên ngoài (AI, v.v.), thay đổi môi trường nội bộ (hệ thống mới và thay đổi nhân sự/nhân viên bên ngoài), thiết lập kế hoạch hoạt động nhằm nâng cao mức độ bảo mật thông tin so với năm ngoái, cũng như các nội dung sửa đổi luật pháp và các chỉ số đánh giá mới. Đặc biệt, kiểm tra khách quan và chi tiết các hoạt động nhằm tăng cường hệ thống phòng ngừa sự cố như rò rỉ thông tin cá nhân do tấn công mạng; thiết lập kế hoạch để trụ sở chính có thể quản lý, giám sát tất cả các bộ phận và các đơn vị thuê ngoài một cách an toàn; vận hành hệ thống DevSecOps theo việc thiết lập hệ thống AI mới; vận hành hệ thống kiểm tra tính phù hợp của PbD (Privacy by Design), v.v. Dựa trên việc thực hiện mở rộng phạm vi giám sát và báo cáo kiểm tra định kỳ, các khu vực công khai bên ngoài, kiểm tra hệ thống liên kết dữ liệu (API, MyData, v.v.), thiết lập kế hoạch cải thiện phân tách mạng theo N2SF, và nâng cao ứng dụng Zero Trust. *Sở hữu hơn 150 tham chiếu (reference) về thiết lập và áp dụng kế hoạch tăng cường hệ thống và hoạt động bảo mật thông tin & bảo vệ thông tin cá nhân cấp độ cao nhất, đầu tiên trên thế giới.

Truyền đạt bí quyết kiểm tra cơ sở hạ tầng tài chính điện tử năm 2025 (Ảo hóa OS, Ảo hóa Container) và truyền đạt bí quyết kiểm tra cơ sở hạ tầng thông tin liên lạc trọng yếu (CA, HV) đã được sửa đổi vào nửa cuối năm 2025. Đặc biệt, cung cấp đánh giá rủi ro (Risk Assessment) cho các Hypervisor trung tâm (ESXi, Xenserver) phiên bản mới nhất. Ngoài ra, cung cấp bổ sung đánh giá rủi ro cho K8S (Kubernetes_master), Docker, v.v. Cuối cùng, cung cấp kết quả phân tích và đánh giá lỗ hổng bảo mật đáp ứng tiêu chuẩn CSAP (Chứng nhận hệ thống quản lý đám mây). **Cung cấp phương án lắp đặt ESXi, Kubernetes master, Docker, Xencenter

Đào tạo nhằm xây dựng phương án đánh giá rủi ro cho thiết bị mạng, thiết bị bảo mật và hệ thống điều khiển theo tiêu chuẩn Cơ sở hạ tầng thông tin truyền thông trọng yếu được sửa đổi vào nửa cuối năm 2025, đồng thời kết hợp bí quyết nhiều năm để loại bỏ lỗ hổng thông qua kiểm tra và biện pháp khắc phục nhanh chóng, chính xác. Đặc biệt, kỳ vọng vào nỗ lực đảm bảo tốc độ kiểm tra và kế hoạch cải thiện theo việc chỉ định phạm vi chứng nhận ISMS-P và ISO27001. Trải nghiệm thực tế với thiết bị mạng, thiết bị bảo mật và hệ thống điều khiển – những thành phần vốn khó thiết lập môi trường do khả năng tiếp cận thấp hơn so với Server, DB, WEB, WAS, PC và Cloud (Public, Private).

Đánh giá phân tích lỗ hổng hạ tầng tài chính điện tử theo tiêu chuẩn năm 2025, giải thích về DBMS, WAS(PaaS), PC dựa trên tiêu chuẩn hạ tầng thông tin liên lạc trọng yếu được sửa đổi vào nửa cuối năm 2025. Đồng thời, giải thích về kiểm thử xâm nhập (Pentest) theo tiêu chuẩn sửa đổi nửa cuối năm 2025 và bổ sung thêm kiểm thử xâm nhập di động. Kỳ vọng nâng cao năng lực thông qua việc truyền đạt bí quyết, cùng với phương án kiểm tra và biện pháp khắc phục nhanh chóng, chính xác.

- Đào tạo phương pháp kiểm tra phù hợp với các hạng mục kiểm tra hệ thống quản lý đám mây trong tiêu chuẩn đánh giá phân tích lỗ hổng hạ tầng tài chính điện tử. - Kiểm tra việc áp dụng các biện pháp bảo vệ theo yêu cầu của Quy định Giám sát Tài chính Điện tử phù hợp với từng môi trường đám mây và ảo hóa. - Tổng hợp các nội dung cần bao gồm trong việc thiết lập quy định và quy trình bảo mật đám mây. - Thu thập tài liệu chứng cứ phục vụ cho công tác đánh giá và chứng nhận môi trường đám mây.

- Giáo dục kiểm tra chứng nhận hệ thống quản lý bảo mật thông tin và bảo vệ thông tin cá nhân hàng đầu quốc gia của khu vực công và tư nhân - Chuẩn bị tăng cường chứng nhận ISMS-P do việc thiết lập đối책tổng hợp bảo mật thông tin - Giáo dục kiểm tra GAP hệ thống quản lý và thiết lập kế hoạch cải thiện - Giáo dục từng loại: kiểm tra ban đầu ISMS-P, kiểm tra hậu kiểm, kiểm tra gia hạn - Giáo dục chuyên môn bảo mật thông tin để đạt được chứng nhận doanh nghiệp có trình độ bảo mật thông tin xuất sắc

Chúng tôi cung cấp 140 âm thanh đầu trong 5 lĩnh vực hữu ích cho kỳ thi chứng chỉ CPPG. Ngoài ra, chúng tôi còn giới thiệu cách sử dụng công cụ này thông qua công cụ tạo tự động cho 111 câu hỏi khác nhau mỗi lần và cung cấp các bài giảng một lần và bài bình luận.

Bạn có thể đạt được chứng chỉ kỹ sư bảo mật thông tin bằng cách nghiên cứu hiệu quả các câu hỏi thi thực hành kỹ sư bảo mật thông tin.

Đây là khóa học chuẩn bị cho kỳ thi lý thuyết của chứng chỉ kỹ sư bảo mật thông tin, giúp bạn tóm tắt ngắn gọn các lý thuyết cốt lõi và tăng cường cảm giác thực tế thông qua việc giải quyết các bài tập. Hãy tiến thêm một bước nữa để đạt được chứng chỉ kỹ sư bảo mật thông tin bằng cách phân tích các câu hỏi đã ra và chiến lược chuẩn bị thực tế.

"Quản lý Bảo mật Công nghiệp Quốc gia" - Đã hoàn tất cập nhật phiên bản mới nhất!! Lịch thi năm 2026 dự kiến sẽ được thông báo trong khoảng từ tháng 2 đến tháng 3 trên trang web (https://license.kaits.or.kr/license/web/board/brdList.do?menu_cd=000021). Khóa học này được thiết kế với mục tiêu giúp học viên đạt được chứng chỉ Quản lý Bảo mật Công nghiệp Quốc gia, đồng thời có thể hiểu một cách hệ thống về bảo mật công nghiệp dưới góc độ quản lý. Thay vì phương pháp học thuộc lòng, nội dung khóa học được hệ thống hóa các khái niệm, cấu trúc và quy trình của bảo mật công nghiệp để ngay cả những người không chuyên cũng có thể hiểu được, giúp học viên không chỉ chuẩn bị tốt cho kỳ thi mà còn có thể áp dụng vào thực tiễn và mở rộng cơ hội nghề nghiệp.

Đây là khóa học giúp chấm dứt các lỗ hổng vận hành trên máy chủ Linux do sai sót về quyền truy cập (Permission). Hãy hệ thống hóa hoàn toàn việc kiểm soát quyền hạn tệp tin/thư mục theo tiêu chuẩn thực tế.

Khóa học này đã tuyển chọn những hệ thống cốt lõi mà người mới bắt đầu cần phải biết trong lĩnh vực bảo mật thông tin rộng lớn. Thay vì lý thuyết khô khan, khóa học được cấu trúc để hiểu trực quan nguyên lý của hệ thống thông qua những ví dụ rõ ràng và các trường hợp thực tế. Chỉ với một khóa học này, bạn có thể nắm bắt được bức tranh tổng thể của toàn bộ hệ thống bảo mật thông tin và phát triển năng lực thực tế.

Đây là khóa học trực tuyến giúp bạn học tập các nội dung cốt lõi để đạt chứng chỉ, từ khái niệm cơ bản về bảo mật thông tin đến các vấn đề bảo mật mới nhất. Với lý thuyết phản ánh xu hướng ra đề thi mới nhất và các đề thi thử thực chiến, bạn có thể chuẩn bị kỳ thi một cách hiệu quả, đồng thời khóa học được thiết kế để những người mới bắt đầu với bảo mật thông tin cũng có thể dễ dàng theo kịp.

Khóa học này giúp bạn học từng bước các kỹ thuật thực tế của Docker (cài đặt→vận hành→tự động hóa→bảo mật), và mỗi phần đều bao quát rộng rãi các mối đe dọa bảo mật mới nhất cùng với các biện pháp đối phó. Đặc điểm nổi bật là phương pháp học tập thông qua thực hành, giúp bạn làm quen trực tiếp bằng cách thực hiện. Đây là chương trình học được khuyến khích mạnh mẽ cho tất cả DevOps, kỹ sư hạ tầng, và nhân viên bảo mật thực tế muốn trải nghiệm hiện trường container/cloud mới nhất.

Bạn có thể hiểu các khái niệm và công nghệ blockchain cũng như tham gia đánh giá chứng nhận ISMS-P chuyên dành cho trao đổi tài sản ảo.