1206 gioi thieu iso27001 2005-b&m

332 views

Published on

Xây dựng hệ thống an toàn thông tin dựa trên tiêu chuẩn ISO/IEC 270001:2005 - Hệ thống quản lý an toàn thông tin (ISMS)

Published in: Engineering
0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total views
332
On SlideShare
0
From Embeds
0
Number of Embeds
4
Actions
Shares
0
Downloads
5
Comments
0
Likes
0
Embeds 0
No embeds

No notes for slide

1206 gioi thieu iso27001 2005-b&m

  1. 1. Xây dựng hệ thống an toàn thông tin dựa trên tiêu chuẩn ISO/IEC 270001:2005 - Hệ thống quản lý an toàn thông tin (ISMS) ISO 27001 là tiêu chuẩn về Hệ thống quản lý an toàn thông tin 1 (ISMS- Information Security Management System) do Tổ chức tiêu chuẩn hóa quốc tế ISO phát triển và ban hành. Tiêu chuẩn này đề ra các yêu cầu trong việc xây dựng, áp dụng, điều hành, kiểm tra, giám sát và phát triển Hệ thống quản lý an ninh thông tin một cách toàn diện, khoa học. Mục đích của ISO 27001:2005 là cung cấp cơ sở chung cho việc phát triển các chuẩn về an toàn thông tin cho tổ chức và thực tiễn quản lý an toàn thông tin một cách hiệu quả, đồng thời cung cấp sự tin cậy trong các mối quan hệ của tổ chức. Ngày 20/4/2010, Công ty TNHH Bureau Veritas Việt Nam (tiền thân là tổ chức BVQI - Bureau Veritas Quality International) phối hợp với Công ty Cổ phần phát triển nguồn nhân lực Thái Sơn và Công ty Cổ phần IT Focus Việt nam tổ chức khóa đào tạo nâng cao nhận thức về tiêu chuẩn ISO/IEC 270001:2005 - Hệ thống quản lý an toàn thông tin (ISMS) tại Hà Nội. Tham dự khóa học là các cán bộ quản lý nhà nước của các bộ ban ngành và các doanh nghiệp, đặt biệt là các doanh nghiệp trong lĩnh vực CNTT, ngân hàng, các đơn vị sản xuất đã đạt được các tiêu chuẩn về hệ thống quản lý v.v… Lịch sử phát triển của ISO 27001:2005 ISO 27001:2005 ban đầu được phát triển trên chuẩn BS7799 của Viện các chuẩn Anh Quốc (British Standards Institution BSI). BS7799 bắt đầu phát triển từ những năm1990 nhằm đáp ứng các yêu cầu cho doanh nghiệp, chính phủ và công nghiệp về việc thiết lập cấu trúc an ninh thông tin chung. Năm 1995, chuẩn theo BS7799 đã được chính thức công nhận. Tháng 5 năm 1999 phiên bản chính thứ 2 của chuẩn BS7799 được phát hành với nhiều cải tiến chặt chẽ. Trong thời gian này Tổ chức thế giới về chuẩn (ISO) đã bắt đầu quan tâm đến chuẩn này. Tháng 12 năm 2000, ISO đã tiếp quản phần đầu của BS7799, đổi tên thành ISO 17799 và như vậy chuẩn an ninh thông tin này bao gồm ISO 17799 (mô tả Qui tắc thực tế cho hệ thống quản lý an ninh thông tin) và BS7799 (đặc tính kỹ thuật cho hệ thống an ninh thông tin. Trong tháng 9 năm 2002, soát xét phần 2 của chuẩn BS7799 được thực hiện để tạo sự nhất quán với các chuẩn quản lý khác như ISO 9001:2000 và ISO 14001:1996 cũng như với các nguyên tắc chính của Tổ chức Hợp tác và phát triển kinh tế (OECD). Ngày 15 Tháng 10 năm 2005 ISO phát triển ISO 17799 và BS7799 thành ISO 27001:2005 và chú trọng vào công tác đánh giá và chứng nhận. ISO 27001 thay thế một cách trực tiếp cho BS7799-2:2002, nó định nghĩa hệ thống ISMS và hướng đến cung cấp một mô hình cho việc thiết lập, thi hành, điều hành, kiểm soát, xem xét, duy trì và cải tiến ISMS. ISO 27001:2005 nằm trong bộ tiêu chuẩn ISO 27000 bao gồm nhiều tiêu chuẩn được ban hành như: ISO 27001:2005 - Hệ thống quản lý an toàn thông tin, ISO 27001:2005 – Quy tắc thực hành, ISO 27003:2010 - Hướng dẫn áp dụng ISMS, 27004:2009 – Đo lường, ISO 27005:2008 - Quản lý rủi ro, v.v… 1 “Hệ thống an toàn thông tin (ISMS) là một phần của hệ thống quản lý tổng thể, dựa trên cách tiếp cận theo rủi ro của kinh doanh, để thiết lập, thực hiện, điều hành, giám sát, xem xét, duy trì và cải tiến việc bảo mật thông tin” Ghi chú: hệ thống quản lý bao gồm: cấu trúc của tổ chức, chính sách, các hoạt động hoạch định, trách nhiệm, việc thực hành, thủ tục, quy trình và nguồn lực” (ISO 27001:2005 cl 3.7)
  2. 2. Tiêu chuẩn ISO 27001:2005 - Hệ thống quản lý an toàn thông tin có quan hệ chặt chẽ với các tiêu chuẩn về hệ thống quản lý khác như: ISO 9001 về đảm bảo chất lượng sản phẩm và thỏa mãn khách hàng, ISO 14001 về bảo vệ môi trường sống cho cộng đồng, OHSAS 18001 về đảm bảo sức khỏe, an toàn cho người lao động, ISO 22000 về đảm bảo an toàn vệ sinh thực phẩm, v.v… Nội dung chính của ISO 27001:2005 ISO 27001:2005 đề ra các yêu cầu để thiết lập, triển khai, vận hành, theo dõi, kiểm tra, bảo trì và cải tiến hệ thống quản lý ATTT, bao gồm 39 mục tiêu kiểm soát và 132 biện pháp kiểm soát ATTT nhằm giảm rủi ro cho tổ chức và cung cấp mô hình quản lý hệ thống an toàn thông tin toàn vẹn. Các biện pháp kiểm soát được chia thành 11 nhóm: 1. Chính sách ISMS 2. Cơ cấu tổ chức ISMS 3. Quản lý tài sản 4. Bảo mật tài nguyên và con người 5. Bảo mật vật chất và môi trường 6. Quản lý vận hành và trao đổi thông tin 7. Kiểm soát truy cập 8. Thu nạp, duy trì và phát triển các hệ thống thông tin 9. Xử lý sự cố ISMS 10. Duy trì liên tục hoạt động kinh doanh 11. Tính tuân thủ pháp luật. ISO 27001:2005 – Bảo mật thông tin cho nội bộ doanh nghiệp Việc bảo mật thông tin trong nội bộ một doanh nghiệp nếu thực hiện không tốt sẽ rất nguy hiểm. Bởi nhân viên trong các doanh nghiệp, tổ chức chính là những người có điều kiện tiếp xúc với hệ thống thông tin của đơn vị dễ dàng hơn người ngoài. Do đó, nguy cơ gây mất an ninh đối với hệ thống từ những thành viên trong nội bộ lớn hơn so với bên ngoài. Nếu muốn đánh cắp thông tin của một công ty, người ở bên ngoài phải tìm các lỗ hổng an ninh của hệ thống, tấn công rồi sau đó mới có thể lấy được dữ liệu nhưng đây không phải là việc dễ dàng. Trong khi đó, những thông tin nội bộ lại rất dễ bị lộ ra bên ngoài bởi chính các nhân viên trong doanh nghiệp, tổ chức, có thể chỉ vì thói quen lưu trữ dữ liệu tùy tiện, như lưu trên các USB, CD-Room mà không tuân thủ các quy định, biện pháp về an toàn, an ninh thông tin. Hầu hết các doanh nghiệp mới chỉ chú ý tới bảo mật tránh các cuộc tấn công từ bên ngoài, do vậy mới chỉ chú ý đến đầu tư các thiết bị bảo mật như: tường lửa, thiết bị ngăn chặn tấn công hay phần mềm diệt virus, v.v…. Trong khi đó, điều quan trọng nhất là họ phải biết được hệ thống công nghệ thông tincủa mình có những điểm yếu và lỗ hổng nào, để từ đó đưa ra biện pháp thích hợp nhằm khắc phục. Các biện pháp khắc phục đôi khi không phải là đầu tư cho thiết bị, công nghệ mà đơn giản chỉ là giải pháp về mặt quản lý. Chẳng hạn, ban lãnh đạo doanh nghiệp có thể đưa ra một quy định mới hoặc thay đổi quy trình công việc là có thể giải quyết được vấn đề. Ngoài ra, để các giải pháp có thể được ứng dụng một cách khoa học và có hiệu quả, doanh nghiệp nên tuân thủ theo hệ thống quản lý an ninh thông tin theo tiêu chuẩn ISO 27001:2005. Nguyên tắc của ISO 27001:2005 là liệt kê, chỉ ra tất cả các rủi ro về an ninh thông tin có thể
  3. 3. xảy ra trong doanh nghiệp để từ đó đánh giá và đưa ra các biện pháp để khắc phục, hạn chế đến mức tối thiểu các rủi ro này. Việc áp dụng tiêu chuẩn ISO là hoàn toàn tự nguyện và có thể áp dụng linh hoạt, do vậy các doanh nghiệp, tổ chức lớn có lượng thông tin quan trọng nhiều nên triển khai ISO 27001:2005 một cách toàn diện. Những đơn vị nhỏ, không có điều kiện về vật chất và tài chính, vẫn có thể áp dụng một phần của hệ thống tiêu chuẩn này, hoặc có thể áp dụng nguyên tắc của nó cho hệ thống hạ tầng mạng nội bộ hoặc những vấn đề quan trọng như quy định sử dụng máy tính của từng nhân viên. Theo thống kê, Hiện nay trên thế giới có gần 6000 doanh nghiệp và tổ chức đạt được chứng chỉ ISO 27001:2005, trong đó có một số tại Việt Nam như First Consulting Group Vietnam (FCGV), FPT Information System, FPT Software, Luvina, … Bên cạnh đó có nhiều doanh nghiệp, tổ chức khác đang trong quá trình xây dựng và áp dụng hệ thống tiêu chuẩn này. Điều này chứng tỏ ngày càng có nhiều doanh nghiệp nhận thấy vai trò quan trọng của việc áp dụng hệ thống quản lý bảo mật thông tin theo ISO 27001 trong nội bộ của mình. Hình: Công ty Hệ thống Thông tin FPT vượt qua kỳ tái đánh giá chứng chỉ ISO 27001:2005 Một số quy định bảo mật dành cho nhân viên FIS • Đọc và hiểu chính sách bảo mật thông tin của công ty; đeo thẻ nhân viên trong suốt thời gian ở trụ sở; • không để tài liệu lên bàn khi không ngồi ở bàn làm việc, khóa máy tính khi đi ra ngoài; • cất toàn bộ tài liệu từ mức trung bình trở lên vào tủ có khóa; • không sử dụng phần mềm không có bản quyền trên máy tính; • khách đến liên hệ công tác chỉ được vào các khu vực công cộng như phòng họp, sảnh lễ tân (Trường hợp đặc biệt khách cần vào nơi làm việc, cán bộ phải gặp nhân viên lễ tân để làm thủ tục bảo lãnh cho khách), tài sản của công ty mang ra ngoài phải được phê duyệt; • đổi các mật mã (password) truy cập vào hệ thống thông tin của công ty với định kỳ sáu tháng một lần; • tham gia đào tạo về phòng cháy chữa cháy…

×