Triển khai các chính sách và tiêu chuẩn trong thực tiễn

1. Triển khai các chính sách và tiêu chuẩn
an toàn thông tin trong thực tiễn
• Triển khai an ninh,an toàn hệ thống thông tin là
thiết lập hệ thống quản lý an ninh thông tin
(ISMS) nhằm đảm bảo 3 thuộc tính của nó: Tính
tin cậy (Confidentiality), tính toàn vẹn (Integrity)
và tính sẵn sàng (Availability). Làm thế nào để
thiết lập một hệ thống ISMS nhất quán, hiệu quả
và thật sự chuyên nghiệp?

2. ISO 27000 quy định các vấn đề về từ vựng và định nghĩa (thuật
ngữ)
• - ISO 27001:2005 xác định các yêu cầu đối với hệ thống quản
lý an toàn thông tin
• - ISO 27002:2007 đưa ra qui phạm thực hành mô tả mục tiêu
kiểm soát an toàn thông tin một các toàn diện và bảng lựa
chọn kiểm soát thực hành an toàn tốt nhất
• - ISO 27003:2007 đưa ra các hướng dẫn áp dụng
• - ISO 27004:2007 đưa ra các tiêu chuẩn về đo lường và định
lượng hệ thống quản lý an toàn thông tin để giúp cho việc đo
lường hiệu lực của việc áp dụng ISMS
• - ISO 27005:2007 tiêu chuẩn về quản lý rủi ro an toàn thông
tin
• - ISO 27006 tiêu chuẩn về hướng dẫn cho dịch vụ khôi phục
thông tin sau thảm hoạ của công nghệ thông tin và viễn thông
Bộ tiêu chuẩn ISO 27000

3. Nội dung chính
I, ISO 27001:2005 là gì?
II, Lịch sử phát triển ISO 27001:2005
III, Cách tiếp cận cơ bản ISO 27001:2005
IV, Bất cập hệ thống an toàn thông tin hiện nay
V, Hệ thống quản lý an toàn thông tin theo tiêu
chuẩn ISO 27001:2005

4. Mục đích của ISO 27001:2005 là cung cấp cơ sở chung
cho việc phát triển các chuẩn an ninh tổ chức và thực tiễn
quản lý an ninh một cách hiệu quả, đồng thời cung cấp sự
tin cậy trong các mối quan hệ của tổ chức.
I, ISO 27001:2005 là gì?
II, Lịch sử phát triển ISO 27001:2005
ISO 27001:2005 ban đầu được phát triển trên chuẩn BS7799
của Viện các chuẩn Anh quốc (British Standards Institution
BSI). BS7799 bắt đầu phát triển từ những năm 1990 nhằm
đáp ứng các yêu cầu cho doanh nghiệp, chính phủ và công
nghiệp về việc thiết lập cấu trúc an ninh thông tin chung. Năm
1995, chuẩn the BS7799 đã được chính thức công nhận.

5. • Tháng 5/1999 phiên bản chính thứ 2 của chuẩn BS7799
được phát hành với nhiều cải tiến chặt chẽ. Trong thời gian
này Tổ chức thế giới về chuẩn (ISO) đã bắt đầu quan tâm
đến chuẩn này. Tháng 12/ 2000, ISO đã tiếp quản phần đầu
của BS7799, đổi thành ISO 17799. Như vậy chuẩn an ninh
thông tin này gồm: ISO 17799 (mô tả Qui tắc thực tế cho hệ
thống quản lý an ninh thông tin) và BS7799 (đặc tính kỹ thuật
cho hệ thống an ninh thông tin. Trong tháng 9/2002, soát xét
phần 2 của chuẩn BS7799 được thực hiện để tạo sự nhất
quán với các chuẩn quản lý khác như ISO 9001:2000; ISO
14001:1996 cũng như với các nguyên tắc chính của Tổ chức
Hợp tác và phát triển kinh tế (OECD).
• 15/10/ 2005 ISO phát triển ISO 17799 và BS7799 thành ISO
27001:2005, chú trọng vào công tác đánh giá và chứng nhận.
ISO 27001 thay thế một cách trực tiếp cho BS7799-2:2002,
nó định nghĩa hệ thống ISMS và hướng đến cung cấp một mô
hình cho việc thiết lập, thi hành, điều hành, kiểm soát, xem
xét, duy trì và cải tiến ISMS.

6. Trong bộ tiêu chuẩn ISO 27001, khái niệm bảo
đảm an ninh thông tin được hiểu là :
- Duy trì tính bí mật
- Duy trì tính toàn vẹn
- Duy trì tính sẵn sàng của thông tin
Ba thuộc tính này luôn luôn là các tiêu chuẩn để
kiểm chứng mức độ bảo đảm an ninh của thông
tin và hệ thống thông tin.
III, Cách tiếp cận cơ bản ISO 27001:2005

7. • Thông tin này còn gắn liền với ba yếu tố là:
– Con người
– Quy trình nghiệp vụ
– Hạ tầng kỹ thuật
Giải pháp cho an ninh thông tin chính là các biện
pháp tác động tới yếu tố con người, quy trình nghiệp
vụ và hạ tầng kỹ thuật để thông tin đảm bảo được 3
thuộc tính: bảo mật, toàn vẹn và sẵn sàng.
Cách tiếp cận cơ bản ISO 27001:2005

8. Bất cập hệ thống an toàn thông tin hiện nay
• Trước đây, an toàn thông tin chủ yếu được tập trung vào
yếu tố hạ tầng kỹ thuật. Các giải pháp trong giai đoạn
này thường là triển khai Firewall tại các mạng LAN để
bảo vệ các máy chủ, hệ thống phòng chống virus. Các
kết nối Internet chỉ được bảo vệ bằng Firewall, Antivirus,
IPS, IDS… Chính vì chỉ tập trung vào các giải pháp kỹ
thuật nên các tổ chức đã bỏ qua yếu tố con người và
quy trình nghiệp vụ, chưa có các chính sách toàn diện
về an ninh thông tin, và cơ cấu tổ chức chuyên trách về
an ninh thông tin nên dù được đầu tư tương đối lớn
nhưng các hệ thống thông tin vẫn tồn tại nhiều điểm yếu
gây mất an ninh thông tin. Theo đánh giá của các
chuyên gia, trong những yếu tố tác động đến an ninh
thông tin thì chỉ có 20% do công nghê, còn 80% do quản
lý, bao gồm yếu tố con người và quy trình nghiệp vụ.

9.  Hệ thống quản lý an ninh thông tin (ISMS) là trái tim của
ISO 27001:2005 và là điều kiện tiên quyết cho việc thi
hành và lấy chứng chỉ toàn diện.
 Một hệ thống ISMS phải quản lý tất cả các mặt của an
ninh thông tin bao gồm con người, các qui trình và các
hệ thống công nghệ thông tin.
 Điều cốt lõi để có hệ thống ISMS thành công là dựa trên
đánh giá phản hồi để cung cấp sự cải tiến liên tục, và lấy
cách tiếp cận có cấu trúc để quản lý tài sản và rủi ro. Hệ
thống an ninh thông tin bao gồm tất cảc các kiểm soát
mà tổ chức đặt trong vị trí thích hợp để đảm bảo an ninh
thông tin, xuyên suốt 10 lĩnh vực sau:
V, Hệ thống quản lý an toàn thông tin theo tiêu chuẩn
ISO 27001:2005

10. 1. Tính chất an ninh (Security Policy)
Cung cấp các chỉ dẫn quản lý và hỗ trợ an ninh thông
tin.
2. Tổ chức an ninh (Security Organization)
3. Phân loại và kiểm soát tài sản (Asset Classification
and Control)
4. An ninh nhân sự (Personnel Security)
5. An ninh môi trường và vật lý (Physical and
Enviromental Security)
6. Quản lý tác nghiệp và truyền thông (Communications
and Operations Management)
7. Kiểm soát truy cập (Access Control)
8. Duy trì và phát triển các hệ thống (Systems
Development and Maintenance)
Hệ thống quản lý an toàn thông tin theo tiêu
chuẩn ISO 27001:2005

11. 9. Quản lý sự liên tục trong kinh doanh (Business
Continuity Management)
10. Tuân thủ (Compliance):
Tránh sự vi phạm của mọi luật công dân và hình sự,
tuân thủ pháp luật, qui định hoặc nghĩa vụ của hợp
đồng và mọi yêu cầu về an ninh. Đảm bảo sự tuân
thủ của các hệ thống với các chính sách an ninh và
các chuẩn. Tăng tối đa hiệu quả và giảm thiểu trở
ngại đến quá trình đánh giá hệ thống.
Hệ thống quản lý an toàn thông tin theo tiêu chuẩn
ISO 27001:2005

12. 1. Đối tượng áp dụng
Tiêu chuẩn ISO 27001 có thể được áp dụng rộng rãi
cho nhiều loại hình tổ chức ( các tổ chức thương mại,
cơ quan nhà nước, các tổ chức phi lợi nhuận… ). Đặc
biệt là các tổ chức mà các hoạt động phụ thuộc nhiều
vào công nghệ thông tin, máy tính, mạng máy tính, sử
dụng cơ sở dữ liệu như: ngân hàng, tài chính, viễn
thông,…Một hệ thống ISMS hiệu lực, phù hợp, đầy đủ
sẽ giúp bảo vệ các tài sản thông tin cũng như đem lại
sự tin tưởng của các bên liên quan như đối tác, khách
hàng… của tổ chức.
Hệ thống quản lý an toàn thông tin theo tiêu chuẩn
ISO 27001:2005

13. 2. Lợi ích
a, Cấp độ tổ chức
Sự cam kết: Chứng chỉ như là một cam kết hiệu quả
của nỗ lực đưa an ninh của tổ chức đạt tại các cấp độ và
chứng minh sự cần cù thích đáng của chính những
người quản trị.
b, Cấp độ pháp luật
Tuân thủ: Chứng minh cho nhà chức trách rằng tổ chức
đã tuân theo tất cả các luật và các qui định áp dụng
ngoài ra nó cũng giúp cho tổ chức "hoàn vốn đầu tư"
nhanh nhất.
Hệ thống quản lý an toàn thông tin theo tiêu chuẩn
ISO 27001:2005

14. c. Cấp độ điều hành
Quản lý rủi ro: Mang lại những hiểu biết tốt hơn về các
hệ thống thông tin, điểm yếu của chúng và làm thế nào
để bảo vệ chúng. Tương tự, nó đảm bảo khả năng sẵn
sàng ở cả phần cứng và phần mềm.
d. Cấp độ thương mại
Sự tín nhiệm và tin cậy: Các thành viên, cổ đông, và
khách hàng vững tin khi thấy khả năng và sự chuyên
nghiệp của tổ chức trong việc bảo vệ thông tin. Chứng
chỉ có thể giúp nhìn nhận riêng từ các đối thủ cạnh tranh
trong thị trường.
Hệ thống quản lý an toàn thông tin theo tiêu chuẩn
ISO 27001:2005

15. e. Cấp độ tài chính
Tiết kiệm chi phí khắc phục các lỗ hổng an ninh và có
khả năng giảm chi phí bảo hiểm.
f. Cấp độ con người
Nâng cao nhận thức và trách nhiệm của nhân viên về
an ninh thông tin.
Lợi ích
Áp dụng mô hình PDCA để triển khai hệ thống ISMS

16. Triển khai và
điều hành hệ
thống ISMS
Giám sát và
đánh giá hệ
thống ISMS
P
D
C
A
Thiết lập hệ
thống ISMS
Duy trì và
nâng cấp hệ
thống ISMS
Các bộ
phận liên
quan
Các yêu
cầu và kỳ
vọng về an
toàn thông
tin
Các bộ
phận liên
quan
Kết quả
quản lý an
toàn thông
tin
Mô hình PDCA

17. • Áp dụng mô hình PDCA để triển khai hệ thống ISMS
Bước 1: Plan (Thiết lập ISMS):
Thiết lập chính sách an ninh, mục tiêu, mục đích, các quá trình và thủ tục phù
hợp với việc quản lý rủi ro và cải tiến an ninh thông tin để phân phối các kết
quả theo các mục tiêu và chính sách tổng thể của tổ chức.
Bước 2: Do (Thi hành và điều hành ISMS):
Cài đặt,thi hành và vận hành các chính sách an ninh, biện pháp quản lý, các
dấu hiệu kiểm soát, quy trình và thủ tục của hệ thống ISMS.
Bước 3: Check (Kiểm soát và xem xét ISMS):
Đánh giá, tìm kiếm sự phù hợp, đo lường hiệu năng của quá trình so với chính
sách an ninh, mục tiêu, kinh nghiệm thực tế và báo cáo kết quả cho lãnh đạo
xem xét.
Bước 4: Act (duy trì và cải tiến ISMS):
Tiến hành các biện pháp hoàn thiện và bảo vệ dựa trên các kết quả của việc
kiểm toán nội bộ hệ thống ISMS, soát xét của ban quản lý hoặc các thông tin
liên quan khác nhằm liên tục hoàn thiện hệ thống ISMS.

18. >>Giai đoạn 1: Thiết lập hệ thống ISMS:
o Để thiết lập hệ thống ISMS, tổ chức cần thực hiện như
sau :
a) Định nghĩa phạm vi và các giới hạn của hệ thống ISMS
theo các mặt: đặc thù công việc; sự tổ chức; địa điểm;
các tài sản và công nghệ, đồng thời bao gồm cả các
thông tin chi tiết và lý do nếu loại bỏ yêu cầu ….. trong
tiêu chuẩn khỏi phạm vi áp dụng.
Triển khai chuẩn ISO 27001:2005 cho tổ chức

19. b) Vạch rõ chính sách triển khai hệ thống ISMS theo các mặt: đặc
thù công việc; sự tổ chức; địa điểm; các tài sản và công nghệ
mà trong đó:
– Bao gồm khuôn khổ để xây dựng mục tiêu, thiết lập định
hướng và nguyên tắc cho việc đảm bảo an toàn thông tin.
– Chú ý đến các hoạt động nghiệp vụ, pháp lý, quy định và
các điều khoản bắt buộc về bảo mật.
– Đưa vào các yêu cầu kinh doanh, các yêu cầu và chế tài về
pháp lý cũng như các nghĩa vụ về an toàn an ninh có trong
hợp đồng.
– Thực hiện sự thiết lập và duy trì hệ thống ISMS như một
phần trong chiến lược quản lý rủi ro của tổ chức.
– Thiết lập các chỉ tiêu đánh giá rủi ro có thể xảy ra .
– Được ban quản lý phê duyệt.
Triển khai chuẩn ISO 27001:2005 cho tổ chức

20. c) Xác định phương pháp tiếp cận đánh giá rủi ro của tổ
chức:
 Xác định hệ phương pháp đánh giá rủi ro thích hợp
với hệ thống ISMS, và các quy định, pháp lý, an toàn
bảo mật thông tin đã xác định.
 Phát triển chỉ tiêu cho các rủi ro có thể chấp nhận và
vạch rõ các mức rủi ro có thể chấp nhận được.
=> Hệ phương pháp đánh giá rủi ro được lựa chọn
sẽ đảm bảo các đánh giá rủi ro đưa ra các kết quả có thể
so sánh và tái tạo được.
Triển khai chuẩn ISO 27001:2005 cho
tổ chức

21. d) Xác định các rủi ro:
– Xác định các tài sản trong phạm vi hệ thống ISMS và
đối tượng quản lý các tài sản này.
– Xác định các mối đe doạ có thể xảy ra đối với tài sản.
– Xác định các yếu điểm có thể bị khai thác bởi các mối
đe doạ trên.
– Xác định những tác động xấu tới các tính chất quan
trọng của tài sản cần bảo đảm: bí mật, toàn vẹn và
sẵn sàng
e) Phân tích và đánh giá các rủi ro:
– Đánh giá các ảnh hưởng hoạt động của tổ chức do
sự cố về an toàn thông tin, chú ý đến các hậu quả
của việc mất tính bí mật, toàn vẹn hay sẵn sàng của
các tài sản.
Triển khai chuẩn ISO 27001:2005 cho tổ chức

22. – Đánh giá các khả năng thực tế có thể xảy ra sự cố an toàn
thông tin bắt nguồn từ các mối đe dọa và nguy cơ đã dự
đoán. Đồng thời đánh giá các tác động tới tài sản và các
biện pháp bảo vệ đang thực hiện.
– Ước lượng các mức độ của rủi ro.
– Xác định rủi ro được chấp nhận hay phải có biện pháp xử
lý dựa trên các chỉ tiêu chấp nhận rủi ro đã được thiết lập
trong mục.
f) Xác định và đánh giá các lựa chọn cho việc xử lý rủi ro.
 Các hoạt động có thể thực hiện :
– Áp dụng các biện pháp quản lý thích hợp.
– Chấp nhận rủi ro với điều kiện chúng hoàn toàn thỏa mãn
các chính sách và tiêu chuẩn chấp nhận rủi ro của tổ
chức.
– Tránh các rủi ro.
– Chuyển giao các rủi ro các bộ phận khác như bảo hiểm,
nhà cung cấp v.v....
Triển khai chuẩn ISO 27001:2005 cho tổ chức

23. g) Lựa chọn các mục tiêu quản lý và biện pháp quản lý để xử lý
các rủi ro:
• Các mục tiêu quản lý và biện pháp quản lý sẽ được lựa chọn
và thực hiện để đáp ứng các yêu cầu được xác định bởi quá
trình xử lý rủi ro và đánh giá rủi ro. Sự lựa chọn này sẽ xem
xét đến tiêu chuẩn chấp nhận rủi ro cũng như các yêu cầu về
pháp lý, quy định và cam kết phải tuân thủ.
• Các mục tiêu quản lý và biện pháp quản lý trong có thể được
lựa chọn như là một phần thích hợp để bảo đảm các yêu cầu đã
xác định và tùy trường hợp có thể lựa chọn thêm các mục tiêu
quản lý và biện pháp quản lý cần thiết khác.
Triển khai chuẩn ISO 27001:2005 cho tổ chức

24. h) Được ban quản lý phê chuẩn các rủi ro tồn đọng đã đề xuất.
i) Được ban quản lý cho phép cài đặt và vận hành hệ thống
ISMS.
j) Chuẩn bị thông báo áp dụng:
 Thông báo áp dụng hệ thống ISMS bao gồm :
– Các mục tiêu quản lý và biện pháp quản lý đã được lựa
chọn và các cơ sở tiến hành lựa chọn.
– Các mục tiêu quản lý và biện pháp quản lý đang được thực
hiện.
– Sự loại trừ các mục tiêu quản lý và biện pháp quản lý trong
phụ lục A cũng như giải trình cho việc này.
Triển khai chuẩn ISO 27001:2005 cho tổ chức

25. o Quá trình triển khai và điều hành hệ thống ISMS đòi hỏi
thực hiện như sau:
a) Lập kế hoạch xử lý rủi ro trong đó xác định các hoạt
động quản lý thích hợp, tài nguyên, trách nhiệm và mức
độ ưu tiên để quản lý các rủi ro an toàn thông tin.
b) Triển khai kế hoạch xử lý, khắc phục rủi ro nhằm đạt
được mục tiêu quản lý đã xác định trong đó bao gồm cả
sự xem xét kinh phí đầu tư cũng như phân bổ vai trò,
trách nhiệm.
c) Triển khai các biện pháp quản lý được lựa chọn để thỏa
mãn các mục tiêu quản lý.
>> Triển khai và điều hành hệ thống ISMS:

26. d. Định nghĩa cách tính toán mức độ hiệu quả của các biện
pháp quản lý hoặc nhóm các biện pháp quản lý đã lựa
chọn và chỉ ra các kết quả này sẽ được sử dụng như
thế nào trong việc đánh giá tính hiệu quả quản lý nhằm
tạo ra những kết quả có thể so sánh được và tái tạo
được.
e. Triển khai các chương trình đào tạo nâng cao nhận thức
.
f. Quản lý hoạt động hệ thống ISMS.
g. Quản lý các tài nguyên dành cho hệ thống ISMS.
h. Triển khai các thủ tục và các biện pháp quản lý khác có
khả năng phát hiện các sự kiện an toàn thông tin cũng
như phản ứng với các sự cố an toàn thông tin.
>> Triển khai và điều hành hệ thống ISMS:

27.  Giám sát và soát xét hệ thống ISMS:
o Tổ chức thực hiện các biện pháp sau đây:
a) Tiến hành giám sát, soát xét lại các thủ tục và biện
pháp quản lý an toàn thông tin khác nhằm:
– Nhanh chóng phát hiện ra các lỗi trong kết quả xử lý.
– Nhanh chóng xác định các tấn công, lỗ hổng và sự cố
an toàn thông tin.
– Cho phép ban quản lý xác định kết quả các các công
nghệ cũng như con người đã đem lại có đạt mục tiêu
đề ra hay không.
– Hỗ trợ phát hiện các sự kiện an toàn thông tin do đó
ngăn chặn sớm các sự cố an toàn thông tin bằng các
chỉ thị cần thiết.
– Xác định đúng hiệu quả của các hoạt động xử lý lỗ
hổng an toàn thông tin.

28. Giám sát và soát xét hệ thống ISMS:
b, Thường xuyên kiểm tra, soát xét hiệu quả của hệ thống ISMS
(bao gồm việc xem xét tính phù hợp giữa chính sách, các mục
tiêu quản lý và soát xét của việc thực hiện các biện pháp quản lý
an toàn thông tin) trong đó xem xét đến các kết quả kiểm tra an
toàn bảo mật, các sự cố đã xảy ra, kết quả tính toán hiệu quả, các
đề xuất, kiến nghị cũng như các thông tin phản hồi thu thập
được.

29. Giám sát và soát xét hệ thống ISMS:
c) Tính toán hiệu quả của các biện pháp quản lý đã thỏa mãn
các yêu cầu về bảo đảm ATTT.
d) Tiến hành kiểm toán nội bộ: Soát xét lại các đánh giá rủi
ro đã tiến hành đồng thời soát xét các rủi ro được bỏ qua
cũng như mức độ rủi ro có thể chấp nhận được. Trong đó
lưu ý các thay đổi trong:
Tổ chức;
Công nghệ;
Mục tiêu và các quá trình nghiệp vụ;
Các mối nguy hiểm, đe doạ an toàn thông tin đã xác định;
Tính hiệu quả của các biện pháp quản lý đã thực hiện;
Các sự kiện bên ngoài chẳng hạn như thay đổi trong môi
trường pháp lý, quy định, điều khoản phải tuân thủ, hoàn
cảnh xã hội.

30. Giám sát và soát xét hệ thống ISMS:
e)Thực hiện việc kiểm tra nội bộ hệ thống ISMS một
cách định kỳ.
f) Đảm bảo thường xuyên kiểm tra việc quản lý hệ thống
ISMS để đánh giá mục tiêu đặt ra có còn phù hợp cũng
như nâng cấp các và đã xác định các nâng cấp cần thiết
cho hệ thống ISMS.
g) Cập nhật kế hoạch bảo đảm an toàn thông tin theo sát
thay đổi của tình hình thực tế thu được qua các hoạt
động giám sát và đánh giá.
h) Ghi chép, lập tài liệu về các sự kiện và hoạt động có
khả năng hưởng đến tính hiệu quả hoặc hiệu lực của hệ
thống ISMS.

31.  Duy trì và nâng cấp hệ thống ISMS:
oTổ chức cần thường xuyên thực hiện:
a) Triển khai các nâng cấp cho hệ thống ISMS đã xác
định.
b) Tiến hành hoàn chỉnh và có các biện pháp phòng ngừa
thích hợp. Chú ý vận dụng kinh nghiệm đã có cũng
như tham khảo từ các tổ chức khác.
c) Thông báo và thống nhất với các thành phần liên quan
về các hoạt động và sự nâng cấp của hệ thống ISMS.
d) Đảm bảo việc thực hiện nâng cấp phải phù hợp với
các mục tiêu đã đặt ra.

32. =>>>>> Hệ thống quản lý an ninh thông tin ISMS gồm con
người, các quá trình và các hệ thống CNTT.
=>>>>> Lập một Hệ thống ISMS theo chuẩn ISO
27001:2005 là cách tiếp cận mang tính hệ thống để quản lý
thông tin nhạy cảm của tổ chức nhằm duy trì và đảm bảo 3
thuộc tính an ninh thông tin: Tính tin cậy, tính toàn vẹn và
tính sẵn sàng thông qua 10 mục tiêu, lĩnh vực chính.
=>>>>> ISO 27001:2005 giúp cho tổ chức tạo được một
hệ thống quản lý an ninh thông tin chặt chẻ và luôn được
cải tiến nhằm đảm bảo an ninh và khai thác thông tin một
cách hợp lý và hiệu quả nhất.