Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.

Nhận thức Hệ thống Quản lý An toàn Thông tin - Tiêu chuẩn ISO 27001 ver082017 - 5S Office

612 views

Published on

Đào tạo nhận thức ISO 27001
Khung mẫu cơ bản cho slide đào tạo nhận thức tiêu chuẩn ISO 27001
Hệ thống Quản lý An toàn Thông tin

Chuyên gia ISO 27001 Nguyễn Đăng Quang

-------------------------
Nguyễn Đăng Quang
Chuyên gia ISO 27001. ITIL. ISO 20000. ISO 9001; Service Protal. Security and Networking System.
Phone: 0944 65 99 37. Skype: c_services_a
Email: dangquang@tuvantieuchuaniso.com

Website: www.tuvantieuchuaniso.com
CServicesA Vietnam - Tư vấn hệ thống quản lý ISO tích hợp
Tư vấn ISO 9001; Đào tạo ISO 9001; Triển khai ISO 9001. Tư vấn ISO 14001; Đào tạo ISO 14001; Triển khai ISO 14001. Tư vấn ISO 20000; Đào tạo ISO 20000; Triển khai ISO 20000. Tư vấn ISO 27001; Đào tạo ISO 9001; Triển khai ISO 27001.

Published in: Technology
  • ------------------------- Nguyễn Đăng Quang Chuyên gia ISO 27001. ITIL. ISO 20000. ISO 9001; Service Protal. Security and Networking System. Phone: 0944 65 99 37. Skype: c_services_a Email: dangquang@tuvantieuchuaniso.com Website: www.tuvantieuchuaniso.com CServicesA Vietnam - Tư vấn hệ thống quản lý ISO tích hợp Tư vấn ISO 9001; Đào tạo ISO 9001; Triển khai ISO 9001. Tư vấn ISO 14001; Đào tạo ISO 14001; Triển khai ISO 14001. Tư vấn ISO 20000; Đào tạo ISO 20000; Triển khai ISO 20000. Tư vấn ISO 27001; Đào tạo ISO 9001; Triển khai ISO 27001.
       Reply 
    Are you sure you want to  Yes  No
    Your message goes here

Nhận thức Hệ thống Quản lý An toàn Thông tin - Tiêu chuẩn ISO 27001 ver082017 - 5S Office

  1. 1. 8/6/2017 NHẬN THỨC ISO/IEC 27001:2013 Trinh bày Ông Nguyễn Đăng Quang Email: dangquang@tuvantieuchuaniso.com cservicesa.vn@gmail.com HCM, ngày 26 tháng 07 năm 2017 Nguyễn Đăng Quang - chuyên gia ISO 27001 - cservicesa.vn@gmail.com Nguyễn Đăng Quang - chuyên gia ISO 27001 - cservicesa.vn@gmail.com 5S OFFICE BUSINESS CENTER Văn phòng trọn gói, Văn phòng chia sẻ, Văn phòng dịch vụ Hà Nội Hồ Chí Minh
  2. 2. 8/6/2017 Phần 01: NHẬN THỨC CHUNG VỀ AN TOÀN THÔNG TIN Nguyễn Đăng Quang - chuyên gia ISO 27001 - cservicesa.vn@gmail.com  Khái quát về an ninh thông tin và thực trạng quản lý an ninh thông tin (ANTT) ở các doanh nghiệp Việt Nam.  Một số các sự kiện ANTT nổi bật ở Việt Nam và thế giới.  Giới thiệu về bộ tiêu chuẩn ISO/IEC 27000, một số khái niệm và thuật ngữ liên quan đến an ninh thông tin và hệ thống quản lý ANTT (ISMS).  Lợi ích áp dụng ISO/IEC 27001. Nguyễn Đăng Quang - chuyên gia ISO 27001 - cservicesa.vn@gmail.com
  3. 3. 8/6/2017 Xu hướng về An toàn Thông tin (t.t) Khảo sát tình hình cấp chứng nhận ISO 27001 Theo khảo sát của tổ chức ISO http://www.iso.org/iso/home/standards/certification/iso-survey.htm Nguyễn Đăng Quang - chuyên gia ISO 27001 - cservicesa.vn@gmail.com
  4. 4. 8/6/2017  Hơn 1.900 máy tính tại Việt Nam lây nhiễm, thế giới thiệt hại 4 tỷ USD vì WannaCry Theo thông tin từ Bkav, tại thời điểm này mã độc không bùng nổ ở Việt Nam. Tuy nhiên, với 52% máy tính tại Việt Nam, tức là khoảng 4 triệu máy chưa được vá lỗ hổng EternalBlue, các máy này có thể bị nhiễm WannaCry bất cứ lúc nào nếu hacker mở rộng việc tấn công Nguyễn Đăng Quang - chuyên gia ISO 27001 - cservicesa.vn@gmail.com  An toàn thông tin Việt Nam năm 2016 qua đánh giá của VNISA Nguyễn Đăng Quang - chuyên gia ISO 27001 - cservicesa.vn@gmail.com
  5. 5. 8/6/2017  An toàn thông tin Việt Nam năm 2016 qua đánh giá của VNISA Về các công nghệ, biện pháp kỹ thuật bảo đảm ATTT cho hệ thống máy chủ, ứng dụng được sử dụng trong các TC/DN tập trung vào các loại hình sau: Bảo mật thiết bị di động 21,4%; Quản lý truy cập 44,1%; Tường lửa cho Cơ sở dữ liệu 32,1%; Hệ thống quản lý chống thất thoát dữ liệu 23,8%; Tường lửa cho ứng dụng web 38%; Phần mềm chống virus 85,1%; Tường lửa 66,5%. Bên cạnh đó, biện pháp kỹ thuật bảo đảm ATTT cho hệ thống mạng bao gồm: Hệ thống quản lý sự kiện ATTT (Security Incident & Event - SIEM…): 19,1% (2015 là 10,1%); Bảo mật mạng không dây 32,9% (2015 là 31,1%); Kiểm soát truy cập 49,4% (2015 là 28,5%); Bộ lọc chống thư rác (Anti-Spam) 45,4% (2015 là 36,3%); Lọc nội dung Web: 48,7% (2015 là 25,8%); Phần mềm chống virus mức mạng (Anti- Virus) 69,4% (2015 là 66%); Tường lửa (Network Firewall) 63,9% (2015 là 56,8%); Hệ thống phát hiện xâm nhập (IDS/IPS) trong mạng 42,2% (2015 là 26,6%); Hệ thống phòng chống tấn công DoS/DdoS 39,7% (2015 là 19,6%). Nguyễn Đăng Quang - chuyên gia ISO 27001 - cservicesa.vn@gmail.com ISO 27001 là gì? Các lợi ích mà ISO 27001 đem lại bao gồm: Các doanh nghiệp áp dụng ISO 27001 sẽ có được các lợi ích: Do sự phụ thuộc ngày càng nhiều vào thông tin và hệ thống thông tin, tính bảo mật, toàn vẹn và sẵn có của thông tin là điều kiện cần thiết để duy trì lợi thế cạnh tranh, dòng tiền, lợi nhuận và hình ảnh thương hiệu. Đảm bảo sự phù hợp với các yêu cầu luật định và các yêu cầu khế ước. Nâng cao khả năng quản lý và sự đảm bảo của tổ chức doanh nghiệp trước các bên liên quan như cổ đông, khách hàng, người tiêu dùng và nhà cung cấp. Thông qua việc đánh giá rủi ro đúng cách, những đe dọa đến tài sản thông tin được xác định, khả năng bị tấn công được đo lường và những tác động tiềm ẩn được ước tính. Vì vậy giúp tổ chức doanh nghiệp đầu tư vào đúng chỗ. Nguồn: BVC ISO/IEC 27001 is the best-known standard in the family providing requirements for an information security management system (ISMS). Nguyễn Đăng Quang - chuyên gia ISO 27001 - cservicesa.vn@gmail.com
  6. 6. 8/6/2017 Lịch sử Nguyễn Đăng Quang - chuyên gia ISO 27001 - cservicesa.vn@gmail.com Giới thiệu ISO 27001 • Tiêu chuẩn ISO 27001 cung cấp một mô hình để thiết lập, thực hiện, vận hành, theo dõi, xem xét, duy trì và cải tiến ISMS (Hệ thống quản lý an ninh thông tin) cho tổ chức hoặc doanh nghiệp • Không có tổ chức nào mà không chịu rủi ro về thông tin, nghĩa là việc áp dụng hệ ISMS rất cần cho mọi tổ chức. Ngày nay mỗi tổ chức đều có thể áp dụng tiêu chuẩn ISO 27001 vào hoạt động của mình • Tiêu chuẩn này có thể áp dụng cho tất cả các loại hình tổ chức như doanh nghiệp, cơ quan chính phủ, tổ chức phi lợi nhuận v.v.. Lịch sử Nguyễn Đăng Quang - chuyên gia ISO 27001 - cservicesa.vn@gmail.com
  7. 7. 8/6/2017 Giới thiệu ISO 27001 (tiếp) • ISO 27001 cũng đã được thừa nhận toàn cầu, nó đề cập đến việc bảo vệ 3 thuộc tính của thông tin là: tính bảo mật, tính toàn vẹn, tính sẵn có • Tiêu chuẩn này nêu ra và giải thích rõ các yêu cầu về quản lý an ninh thông tin • Cung cấp các kiểm soát an ninh thích hợp và các kinh nghiệm thực tiễn tốt nhất về an ninh thông tin • Cung cấp cơ sở chung để xây dựng các chuẩn mực an ninh cho tổ chức và thực hành sự quản lý an ninh hiệu quả để tạo ra sự tự tin lớn hơn khi tiếp xúc với những tổ chức khác Lịch sử Nguyễn Đăng Quang - chuyên gia ISO 27001 - cservicesa.vn@gmail.com Các chuẩn hỗ trợ tương thích ISO 27xxx • ISO 27033 (An ninh mạng) • ISO 27034 (An ninh ứng dụng CNTT) • ISO 27035 (Quản lý sự cố an ninh thông tin) • ISO 27036 (An ninh thông tin đối với quan hệ cung ứng) • ISO 27037 (Nguyên tắc nhận diện, thu thập, mua bán và bảo quản chứng chỉ số) • ISO 27038 (Đặc tả cho biên tập số) • ISO 27039 (Lựa chọn, triển khai và vận hành hệ thống phát hiện xâm nhập) • ISO 27040 (An ninh lưu trữ dữ liệu) • ….. Bộ tiêu chuẩn ISO 27000 Nguyễn Đăng Quang - chuyên gia ISO 27001 - cservicesa.vn@gmail.com
  8. 8. 8/6/2017 Bộ tiêu chuẩn ISO 27000 Nguyễn Đăng Quang - chuyên gia ISO 27001 - cservicesa.vn@gmail.com So Sánh phiên bản Nguyễn Đăng Quang - chuyên gia ISO 27001 - cservicesa.vn@gmail.com
  9. 9. 8/6/2017 Hệ thống ISMS • “Hệ thống quản lý an ninh thông tin ISMS là một phần của hệ thống quản lý tổng thể, dựa trên việc tiếp cận rủi ro kinh doanh nhằm thiết lập, thực thi, hoạt động, giám sát, rà soát, duy trì và cải tiến an ninh thông tin.” (ISO/IEC 27001:2005 – Điều 3.7) • Việc chấp nhận ISMS phải là quyết định mang tính chiến lược của một tổ chức (cơ quan, doanh nghiệp, hiệp hội) • Việc thiết kế và triển khai ISMS của một tổ chức phụ thuộc vào sự cần thiết và các mục tiêu, yêu cầu an toàn bảo mật, quá trình tuyển dụng, qui mô và cấu trúc của tổ chức • ISMS cần được tuỳ biến phù hợp với nhu cầu của tổ chức. Một tình huống đơn giản sẽ chỉ cần một ISMS đơn giản Bộ tiêu chuẩn ISO 27000 Nguyễn Đăng Quang - chuyên gia ISO 27001 - cservicesa.vn@gmail.com Nội dung ISO 27001 • Chính sách an ninh: cung cấp phương hướng, đường lối quản lý và hỗ trợ cho an ninh thông tin • Tài sản và nguồn lực của tổ chức: Giúp quản lý an ninh thông tin trong tổ chức của bạn • Kiểm soát và phân loại tài sản: Giúp xác định tài sản trong tổ chức của bạn và quản lý chúng thích hợp • An ninh con người: Giảm rủi ro về các lỗi do con người, trộm cắp, lừa đảo hoặc sai lầm trong sử dụng thiết bị • An ninh vật lý và môi trường: Ngăn ngừa các truy cập không được phép, sự phá hoại, đột nhập cơ sở nghiệp vụ và thông tin Bộ tiêu chuẩn ISO 27000 Nguyễn Đăng Quang - chuyên gia ISO 27001 - cservicesa.vn@gmail.com
  10. 10. 8/6/2017 Thuật ngữ mới trong phiên bản ISO 27001:2013 2.41 Bên quan tâm (Interested party) Cá nhân hoặc tổ chức (2.57) có thể ảnh hưởng hoặc bị ảnh hưởng bởi, hoặc tự nhận thấy bị ảnh hưởng bởi một quyết định hoặc hành động. 2.82 Bên liên quan (Stakeholder) Cá nhân hoặc tổ chức có thể gây ảnh hưởng, chịu ảnh hưởng hoặc tự cảm thấy bị ảnh hưởng bởi một quyết định hoặc hoạt động. [TCVN 9788:2013] 2.72 Tư vấn và truyền thông rủi ro (Risk communication and consultation) Các quy trình liên tục và lặp lại mà tổ chức cần thực hiện để cung cấp, chia sẻ hoặc có được thông tin và tham gia vào đối thoại với các bên liên quan (2.82) trong việc quản lý rủi ro (2.68) [TCVN 9788:2013] CHÚ THÍCH 1: Thông tin có thể liên quan đến sự tồn tại, bản chất, hình thức, khả năng xảy ra, tầm quan trọng, ước lượng, chấp nhận và xử lý rủi ro. CHÚ THÍCH 2: Tư vấn là một quy trình hai chiều trao đổi thông tin giữa tổ chức và các bên liên quan về một vấn đề trước khi đưa ra quyết định hoặc xác định một hướng đi về vấn đề đó. Tư vấn là: Một quy trình có tác động đến việc ra quyết định thông qua ảnh hưởng chứ không phải là qua ép buộc; Một đầu vào để đưa ra quyết định, không tham gia vào việc ra quyết định. Nguyễn Đăng Quang - chuyên gia ISO 27001 - cservicesa.vn@gmail.com Thuật ngữ mới trong phiên bản ISO 27001:2013 2.68 Rủi ro (Risk) Hiệu ứng của sự không chắc chắn về các mục tiêu. [TCVN 9788:2013] CHÚ THÍCH 1: Hiệu ứng là sự chênh lệch so với dự kiến - có thể là tích cực hoặc tiêu cực. CHÚ THÍCH 2: Sự không chắc chắn là tình trạng, thậm chí là một phần, thiếu hụt thông tin liên quan tới việc hiểu hoặc nhận thức về một sự kiện (2.25), hệ quả (2.14) của sự kiện đó hoặc khả năng xảy ra (2.45). CHÚ THÍCH 3: Rủi ro thường được đặc trưng bởi các tham chiếu đến các sự kiện (2.25) và hệ quả (2.14) có thể có, hoặc là sự kết hợp của chúng. CHÚ THÍCH 4: Rủi ro an toàn thông tin thường được thể hiện bằng sự kết hợp của các hệ quả (2.14) của một sự kiện (bao gồm cả những thay đổi về hoàn cảnh) và khả năng xảy ra (2.45) kèm theo. CHÚ THÍCH 5: Trong bối cảnh của các hệ thống quản lý an toàn thông tin, các rủi ro an toàn thông tin có thể được thể hiện như ảnh hưởng không chắc chắn lên các mục tiêu an toàn thông tin. CHÚ THÍCH 6: Rủi ro an toàn thông tin có liên quan đến khả năng phát sinh mối đe dọa (2.83) sẽ khai thác điểm yếu (2.89) của một tài sản thông tin hoặc một nhóm các tài sản thông tin và do đó gây ra thiệt hại cho tổ chức. 2.64 Rủi ro tồn đọng (Residual risk) Rủi ro (2.68) còn lại sau khi xử lý rủi ro (2.79). CHÚ THÍCH 1: Rủi ro tồn đọng có thể gồm cả rủi ro không xác định. CHÚ THÍCH 2: Rủi ro tồn đọng cũng có thể coi là “rủi ro được giữ lại”. Nguyễn Đăng Quang - chuyên gia ISO 27001 - cservicesa.vn@gmail.com
  11. 11. 8/6/2017 Thuật ngữ mới trong phiên bản ISO 27001:2013 2.34 Tính liên tục an toàn thông tin (information security continuity) Các quy trình (2.61) và thủ tục để đảm bảo vận hành liên lục an toàn thông tin (2.33). 2.35 Sự kiện an toàn thông tin (Information security event) Sự kiện xác định của một hệ thống, dịch vụ hoặc trạng thái mạng cho thấy có khả năng vi phạm chính sách an toàn thông tin hay lỗi kiểm soát, hoặc một tình huống không lường trước liên quan đến an toàn thông tin. 2.36 Sự cố an toàn thông tin (Information security incident) Một hoặc một loạt các sự kiện an toàn thông tin (2.35) không mong muốn hoặc không dự tính có khả năng ảnh hưởng đáng kể các đến hoạt động nghiệp vụ và đe dọa an toàn thông tin (2.33). 2.37 Quản lý sự cố an toàn thông tin (Information security incident management) Các quy trình (2.61) phát hiện, báo cáo, đánh giá, đáp ứng, đối phó và đúc rút kinh nghiệm từ sự cố an toàn thông tin (2.36). Nguyễn Đăng Quang - chuyên gia ISO 27001 - cservicesa.vn@gmail.com Lý do áp dụng ISO 27001 • 1. Cần thông tin đúng: Có thông tin đúng là yếu tố sống còn của bất kỳ tổ chức hoặc doanh nghiệp nào. Tuy nhiên, việc nắm bắt và kiểm soát thông tin đúng thường khó và không bền vững. ISO 27001:2005 sẽ giúp các tổ chức hay doanh nghiệp quản lý thông tin của mình một cách hiệu quả hơn. • 2. Thúc đẩy quan hệ đối tác: Các tổ chức hoặc doanh nghiệp ngày càng ý thức được việc thiếu kiểm soát của mình, đặc biệt là công tác thông tin tới nhà cung cấp và khách hàng. Do đó, họ đang tìm kiếm các quy tắc và sự tin tưởng nhờ hệ thống đánh giá theo tiêu chuẩn ISO 27001 đem lại. • 3. Cắt giảm chi phí trong chuỗi cung ứng: ISO 27001 được coi như sáng kiến giúp giảm thiểu các hoạt động trùng lặp của tổ chức hoặc doanh nghiệp. Tiêu chuẩn này cũng được coi là sáng kiến nhằm giảm dữ liệu đầu vào cho tổ chức hoặc doanh nghiệp. Lợi ích khi áp dụng ISO 27001 Nguyễn Đăng Quang - chuyên gia ISO 27001 - cservicesa.vn@gmail.com
  12. 12. 8/6/2017 Lý do áp dụng ISO 27001 (tiếp) • 4. Không đơn thuần về an ninh thông tin: Ngoài đảm bảo an ninh thông tin, ISO 27001 còn cung cấp các giải pháp quản lý tính bảo mật, tính toàn vẹn và tính sẵn có của thông tin. Đồng nghĩa với đó là sự hỗ trợ quản lý rủi ro cho các tổ chức hoặc doanh nghiệp • 5. Hoạt động theo quy trình và hệ thống nhất quán: ISO 27001 giúp huy động các nguồn lực then chốt nhằm đề ra các hành động cần thiết để giảm thiểu sự cố thông tin và quản lý rủi ro thông tin cho các tổ chức/doanh nghiệp • 6. Không chỉ riêng bộ phận CNTT: Trước kia, ISO 27001 được biết đến là tiêu chuẩn đánh giá chỉ trong lĩnh vực CNTT. Tuy nhiên, hiện nay tiêu chuẩn này đã được mở rộng và bao quát toàn bộ tổ chức hay doanh nghiệp từ nhân viên quét dọn đến giám đốc điều hành • 7. Đánh giá bởi Tổ chức chứng nhận được công nhận Quốc tế : Điều này không chỉ đảm bảo cho tổ chức hay doanh nghiệp duy trì và cải tiến hoạt động của mình mà còn giúp xác định năng lực và tìm kiếm các cơ hội hợp tác Lợi ích khi áp dụng ISO 27001 Nguyễn Đăng Quang - chuyên gia ISO 27001 - cservicesa.vn@gmail.com Lý do áp dụng ISO 27001 (tiếp) • 8. Tăng khả năng trúng thầu và cơ hội ký kết hợp đồng: Khách hàng thường bị hạn chế về nguồn lực để tìm hiểu các đối tác hay nhà cung cấp của mình. Ngày nay họ thường sử dụng ISO 27001 và các tiêu chuẩn quản lý khác làm thước đo để xác định tổ chức hay doanh nghiệp nhà bạn có phải là đối tác tin cậy hay không, trước khi tiếp tục xem xét hồ sơ bỏ thầu của tổ chức hay doanh nghiệp nhà bạn. • 9. Cải thiện lợi nhuận: Các sự cố và vụ việc nghiêm trọng như trục trặc điều khiến tổ chức hay doanh nghiệp của bạn làm phí thời gian và tiền bạc. Do vậy, điều quan trọng là làm thể nào xác định được các sự cố và rủi ro tiềm ẩn để triển khai các hành động phòng ngừa. Sẽ không ngạc nhiên nếu tổ chức hay doanh nghiệp của bạn phải bỏ thời gian và tiền bạc để khắc phục các sự cố an ninh thông tin mà nguyên nhân là không chủ động xác định trước các sự cố và rủi ro tiềm ẩn. Trên cơ sở đó, ISO 27001 hướng tới giúp bạn đảm bảo rằng thông tin đúng được cung cấp đúng chỗ, đúng lúc và đúng người. • 10. Liên tục cải tiến: Môi trường kinh doanh hiện đang không ngừng thay đổi. Do vậy, các tổ chức hay doanh nghiệp cũng cần phải cải tiến và thay đổi cho phù hợp và tăng tính hiệu quả. ISO 27001 hỗ trợ các tổ chức hay doanh nghiệp giám sát các chỉ số quan trọng để đưa ra quyết định và hành động phù hợp với thực tế. Lợi ích khi áp dụng ISO 27001 Nguyễn Đăng Quang - chuyên gia ISO 27001 - cservicesa.vn@gmail.com
  13. 13. 8/6/2017 Phần 02: TỔNG QUAN VỀ CÁC YÊU CẦU CỦA ISO/IEC 27001 Nguyễn Đăng Quang - chuyên gia ISO 27001 - cservicesa.vn@gmail.com  Giới thiệu quan điểm xây dựng tiêu chuẩn của tổ chức ISO  Trình bày tóm tắt các yêu cầu của tiêu chuẩn ISO/IEC 27001:2013  Trình bày tóm tắt các mục tiêu kiểm soát và biện pháp kiểm soát được nêu trong Phụ lục A của ISO/IEC 27001  Tác động của ISMS đến các bộ phận trong tổ chức Nguyễn Đăng Quang - chuyên gia ISO 27001 - cservicesa.vn@gmail.com
  14. 14. 8/6/2017 Cấu trúc tiêu chuẩn ISO 27001:2013 0. Giới thiệu 1. Phạm vi / Scope 2. Tài liệu viện dẫn / Normative reference 3. Thuật ngữ và định nghĩa / Terms and definition 4. Bối cảnh của tổ chức / Context of the Organization 5. Sự Lãnh đạo / Leadership 6. Kế hoạch - Hoạch định hệ thống / Planning 7. Hỗ trợ / Support 8. Vận hành - Tác nghiệp / Operation 9. Đánh giá kết quả hoạt động / Performance 10. Cải tiến / Improvement Phụ lục A: Các mục tiêu kiểm soát và các kiểm soát – ISO 27001 Nguyễn Đăng Quang - chuyên gia ISO 27001 - cservicesa.vn@gmail.com Chu trình DEMING (Vòng tròn PDCA) đối với phiên bản 27001:2013 Có thể nhận ra được vòng tròn PDCA xuất hiện trong cấu trúc tiêu chuẩn ISO: ◆ Điều khoản 4 Bối cảnh tổ chức, 5 Lãnh đạo, 6 Hoạch định và 7 Hỗ trợ, là bước Plan (lập kế hoạch) ◆ Điều khoản 8 Vận hành là bước Do (thực hiện) ◆ Điều khoản 9 Đánh giá hiệu năng là bước Check (kiểm tra) ◆ Điều khoản 10 Cải tiến là bước Act (hành động) Nguyễn Đăng Quang - chuyên gia ISO 27001 - cservicesa.vn@gmail.com
  15. 15. 8/6/2017 CÁC KIỂM SOÁT CỦA ISO 27001 Nguyễn Đăng Quang - chuyên gia ISO 27001 - cservicesa.vn@gmail.com Nguyễn Đăng Quang - chuyên gia ISO 27001 - cservicesa.vn@gmail.com
  16. 16. 8/6/2017 Phần 03: THỰC HÀNH Nguyễn Đăng Quang - chuyên gia ISO 27001 - cservicesa.vn@gmail.com  Nhận biết tài sản thông tin  Đánh giá rủi ro Nguyễn Đăng Quang - chuyên gia ISO 27001 - cservicesa.vn@gmail.com
  17. 17. 8/6/2017 NHẬN BIẾT TÀI SẢN THÔNG TIN Nguyễn Đăng Quang - chuyên gia ISO 27001 - cservicesa.vn@gmail.com Thế nào là Thông tin ? Information is an asset that, like other important business assets, is essential to an organization’s business and consequently needs to be suitably protected. Nguồn ISO 27000:2014 Thông tin là một tài sản, như các tài sản kinh doanh quan trọng khác, là cần thiết để kinh doanh của tổ chức và cần phải được bảo vệ thích hợp. Nguyễn Đăng Quang - chuyên gia ISO 27001 - cservicesa.vn@gmail.com
  18. 18. 8/6/2017 Tài sản thông tin! ◆ Tài sản thông tin không giống tài sản vật chất và rất ít khi được kiểm soát, ở nhiều dạng khác nhau, nó có thể có liên quan đến các hệ thống thông tin hoặc không ◆ Thông qua việc hiểu biết tài sản thông tin và sở hữu của tổ chức là gì mới có thể tạo ra một hệ ISMS thành công ◆ ISO 27002 quan tâm tới những tài sản thông tin có giá trị cho hoạt động kinh doanh ◆ Tầm quan trọng của thông tin cần được đánh giá về mặt tác động của sự việc bị lộ, bị sửa đổi, bị mất hoặc không sẵn có ◆ Quá trình ghi lại và quản lý tài sản sẽ được yêu cầu, kiểm soát sự giảm sút luồng thông tin của chúng Nguồn 2.3 – ISO 27000:2009 Nguyễn Đăng Quang - chuyên gia ISO 27001 - cservicesa.vn@gmail.com An toàn thông tin (Information Security)? An toàn thông tin bảo toàn ba yếu tố chính: Bảo mật, sẵn sàng và toàn vẹn. Liên quan đến việc ứng dụng và quản lý an toàn thông tin hoặc các biện pháp bảo mật thích hợp đó liên quan đến việc xem xét một loạt các mối đe dọa, với mục tiêu đảm bảo sự thành công kinh doanh bền vững và liên tục, và giảm thiểu tác động của sự cố an toàn thông tin. Nguồn 3.2.3 - ISO 27000:2014 Nguyễn Đăng Quang - chuyên gia ISO 27001 - cservicesa.vn@gmail.com
  19. 19. 8/6/2017 Phân loại tài sản thông tin (t.t) Nguyễn Đăng Quang - chuyên gia ISO 27001 - cservicesa.vn@gmail.com Confidentiality, Availability and Integrity Nguyễn Đăng Quang - chuyên gia ISO 27001 - cservicesa.vn@gmail.com
  20. 20. 8/6/2017 Giải pháp hệ thống Nguyễn Đăng Quang - chuyên gia ISO 27001 - cservicesa.vn@gmail.com Giải pháp hệ thống Nguyễn Đăng Quang - chuyên gia ISO 27001 - cservicesa.vn@gmail.com
  21. 21. 8/6/2017 Giải pháp hệ thống Nguyễn Đăng Quang - chuyên gia ISO 27001 - cservicesa.vn@gmail.com PHƯƠNG PHÁP QUẢN LÝ RỦI RO Nguyễn Đăng Quang - chuyên gia ISO 27001 - cservicesa.vn@gmail.com
  22. 22. 8/6/2017  Xác định phương pháp đánh giá rủi ro  Xác định chuẩn mực chấp nhận rủi ro  Nhận biết rủi ro  Phân tích và lượng hóa rủi ro  Tùy chọn xử lý rủi ro  Chọn biện pháp kiểm soát  Kế hoạch xử lý rủi ro Nguyễn Đăng Quang - chuyên gia ISO 27001 - cservicesa.vn@gmail.com Rủi ro trong ISMS Information security risk is associated with the potential that threats (2.83) will exploit vulnerabilities (2.89) of an information asset or group of information assets and thereby cause harm to an organization. Nguồn 2.68 - ISO 27000:2014 Rủi ro trong an toàn thông tin có liên quan đến khả năng đe dọa (2.83) sẽ khai thác điểm yếu (2.89) của một tài sản thông tin hoặc nhóm các tài sản thông tin từ đó gây hại cho một tổ chức. Nguyễn Đăng Quang - chuyên gia ISO 27001 - cservicesa.vn@gmail.com
  23. 23. 8/6/2017 Phương pháp đánh giá rủi ro Nguyễn Đăng Quang - chuyên gia ISO 27001 - cservicesa.vn@gmail.com Nguyễn Đăng Quang - chuyên gia ISO 27001 - cservicesa.vn@gmail.com
  24. 24. 8/6/2017 Nguyễn Đăng Quang - chuyên gia ISO 27001 - cservicesa.vn@gmail.com Kiểm soát nào nên được chọn Kiểm soát thuận tiện cho người dùng Kiểm soát đảm bảo đạt được yêu cầu đề ra Kiểm soát không làm ảnh hưởng đến tiến độ công việc Nguyễn Đăng Quang - chuyên gia ISO 27001 - cservicesa.vn@gmail.com
  25. 25. 8/6/2017 Kiểm soát - nhật ký - Log A.12.4 Logging and monitoring Objective: To record events and generate evidence A.12.4.1 Ghi nhật ký đánh giá Biện pháp quản lý Việc ghi lại tất cả các hoạt động của người dùng, các lỗi ngoại lệ và các sự kiện an toàn thông tin cần phải được thực hiện và duy trì trong một khoảng thời gian đã được thỏa thuận nhằm trợ giúp cho việc điều tra cũng như giám sát điều khiển truy cập về sau. A.12.4.2 Bảo vệ các thông tin nhật ký Biện pháp quản lý Các chức năng ghi nhật ký cũng như thông tin nhật ký cần được bảo vệ khỏi sự giả mạo và truy cập trái phép A.12.4.3 Nhật ký người điều hành và người quản trị Biện pháp quản lý Tất cả hoạt động của người quản trị cũng như người điều hành hệ thống cần phải được ghi lại. A.10.10.6 Đồng bộ thời gian Biện pháp quản lý Đồng hồ trên các hệ thống xử lý thông tin trong tổ chức hoặc trong một phạm vi an toàn cần được đồng bộ với một nguồn thời gian chính xác đã được đồng ý lựa chọn. Nguyễn Đăng Quang - chuyên gia ISO 27001 - cservicesa.vn@gmail.com Nguyễn Đăng Quang - chuyên gia ISO 27001 - cservicesa.vn@gmail.com
  26. 26. 8/6/2017 Phần 04: CÁC BƯỚC XÂY DỰNG VÀ CHỨNG NHẬN ISMS THEO ISO/IEC 27001 Nguyễn Đăng Quang - chuyên gia ISO 27001 - cservicesa.vn@gmail.com  Giới thiệu trình tự các bước tiến hành xây dựng ISMS theo tiêu chuẩn ISO/IEC 27001:2013  Cách thức tổ chức thực hiện nhằm đảm bảo tiến độ kế hoạch và xây dựng thành công ISMS  Những khó khăn gặp phải trong quá trình xây dựng ISMS Nguyễn Đăng Quang - chuyên gia ISO 27001 - cservicesa.vn@gmail.com
  27. 27. 8/6/2017 Nguyễn Đăng Quang - chuyên gia ISO 27001 - cservicesa.vn@gmail.com  Những khó khăn gặp phải trong quá trình xây dựng ISMS Nguyễn Đăng Quang - chuyên gia ISO 27001 - cservicesa.vn@gmail.com
  28. 28. 8/6/2017 Thảo luận Nguyễn Đăng Quang - chuyên gia ISO 27001 - cservicesa.vn@gmail.com Nguyễn Đăng Quang - chuyên gia ISO 27001 - cservicesa.vn@gmail.com 5S OFFICE BUSINESS CENTER Văn phòng trọn gói, Văn phòng chia sẻ, Văn phòng dịch vụ Hà Nội Hồ Chí Minh
  29. 29. 8/6/2017 Thông tin liên hệ CServicesA Ltd. Trụ sở : Phòng 01, Tầng 12, 285 CMT8, Quận 10, HCM Chi nhánh Hà Nội : Phòng 403, 01 Đào Duy Anh, Đống Đa, HN Phone : (84) 944 65 99 37 Email : dangquang@tuvantieuchuaniso.com cservicesa.vn@gmail.com Website : www.tuvantieuchuaniso.com Nguyễn Đăng Quang - chuyên gia ISO 27001 - cservicesa.vn@gmail.com

×