Tài liệu giới thiệu về an toàn thông tin, khẳng định rằng thông tin là tài sản quan trọng cần được bảo vệ thông qua các tiêu chuẩn an toàn như ISO 27001 và ISO 27002. Nó đề cập đến các yếu tố chính trong an toàn thông tin, bao gồm con người, quy trình và công nghệ, cũng như các rủi ro và mối đe dọa tiềm tàng từ cả bên trong và ngoài tổ chức. An toàn thông tin không chỉ là vấn đề công nghệ mà còn là vấn đề tổ chức, đòi hỏi sự trách nhiệm và đồng thuận từ tất cả các bên liên quan.

1. AN TOÀN THÔNG TIN
(INFORMATION SECURITY)
A
N
T
O
À
N
T
H
Ô
N
G
T
I
N
Người trình bày: Đàm Lê Anh
Hiệp hội An toàn thông tin Việt nam - VNISA

2. Thông tin là gì?
An toàn thông tin là gì?
Rủi ro là gì?
Hướng dẫn về các tiêu chuẩn cho Công
nghệ thông tin
Các trách nhiệm của người sử dụng
C
Á
C
N
Ộ
I
D
U
N
G
C
H
Í
N
H
2

3. „Thông tin là một Tài sản như các Tài sản
quan trọng khác trong công việc – Có
giá trị với tổ chức và cần được thường
xuyên bảo vệ một cách phù hợp‟
„Information is an asset which, like other
important business assets, has value to
an organization and consequently needs
to be suitably protected‟
BS ISO 27002:2005
T
h
ô
n
g
t
i
n
3

4. V
ò
n
g
đ
ờ
i
c
ủ
a
T
h
ô
n
g
t
i
n
Thông tin có các trạng
thái…
 Khởi tạo
 Lưu trữ
 Tiêu hủy
 Xử lý
 Truyền phát
 Sử dụng, khai thác (Mục đích riêng–mục đích
chung)
 Bị hỏng
 Mất
 Đánh cắp
4

5. C
Á
C
D
Ạ
N
G
G
H
I
N
H
Ậ
N
T
H
Ô
N
G
T
I
N
T
Y
P
E
S
In ra giấy
Lưu giữ dưới dạng bản ghi điện tử
 Truyền phát dưới dạng điện tử
Xem dưới dạng băng video
Hiển thị, đăng tải trênWeb
Truyền miệng
‘Bất kỳ định dạng nào của thông tin được lưu
giữ và chia sẻ cần luôn được bảo vệ thích
đáng’
…Whatever form the information takes, or means by which it is
shared or stored, it should always be appropriately protected’
(BS ISO 27002:2005)
5

6. A
N
T
O
À
N
T
H
Ô
N
G
T
I
N
An toàn thông tin là gì?
 An toàn thông tin: các đối tượng Tài sản thông tin tránh khỏi
mọi sự nguy hiểm
 An toàn thông tin được thực hiện dựa trên một loạt kế hoạch
hành động
 An toàn thông tin được thực hiện đồng thới trên một loạt kế
hoạch hành động hoặc phối hợp với các kế hoạch khác
 An toàn thông tin được coi như cần thiết để bảo vệ các tiến
trình chính cũng như hệ thống có chứa các tiến trình đó
 An toàn thông tin không chỉ là cái gì đó phải mua mà là việc
bạn phải làm.
6

7.  An toàn thông tin là việc phối hợp thống nhất của
các công cụ, các hệ thống, các giải pháp, phần
mềm, cảnh báo và dò quét các lỗ hổng bảo mật
An toàn thông tin là gì?
 ATTT là tất cả các yếu tố trên và không được coi
chỉ có thiết bị và công cụ
 Giám sát 24X7X365
 Bao hàm cả yếu tố con người, quy trình, Công
nghệ, Chính sách, Thủ tục (People, Processes,
Technology, policies, procedures,)
A
N
T
O
À
N
T
H
Ô
N
G
T
I
N
10/10/20
13
7Mohan Kamat

8. C
á
c
t
h
à
n
h
p
h
ầ
n
Con
người
Quy trình
CÔNG NGHỆ

9. C
o
n
n
g
ư
ờ
i
Con người – Chúng ta là ai?
Con người khai thác sử dụng hoặc
có liên quan đến thông tin bao
gồm:
Sở hữu hoặc đồng sở hữu thông tin
Quản trị thông tin
Người lao động, cán bộ công nhân viên
Đối tác
Các nhà cung cấp dịch vụ
Nhà thầu
Khách hàng
Lãnh đạo các cấp
10/10/20
13
9Mohan Kamat

10. Quy trình – Chúng ta làm gì?
Quy trình được hiểu như các công việc thực tế,
các tiến trình công việc. Quy trình bao gồm
các bước làm việc lặp đi lặp lại nhằm hoàn
thành các công việc cụ thể. Các nghiệp vụ ứng
dụng Công nghệ thông tin thường chứa đựng
rất nhiều quy trình
Quản trị dịch vụ
Quản trị lỗi
Quản trị thay đổi
Thực hiện hoàn thiện yêu cầu
Quản trị Tài sản
Quản trị nhận dạng xác thực
Quản trị hợp đồng dịch vụ
Quản trị mua sắm...
Q
u
y
t
r
ì
n
h
10

11. Công nghệ - Công cụ nâng cao hiệu quả nghiệp
vụ
Cơ sở hạ tầng mạng:
Cáp, mạng thoại, mạng số liệu cùng các thiết
Dịch vụ viễn thông, VoIP, mạng truyền số liệu, Video
Conferencing…
Máy chủ và các thiết bị lưu trữ số liệu
Các phần mềm trên máy chủ
Thiết bị thông tin liên lạc,
Các kết nối Internet và mạng dùng riêng
Mạng riêng ảo (VPNs) and các môi trường ảo hóa
Dịch vụ truy cập từ xa
Kết nối không dây
C
Ô
N
G
N
G
H
Ệ
10/10/20
13
11Mohan Kamat

12. C
Ô
N
G
N
G
H
Ệ
Phần mềm ứng dụng:
Hệ thống tài chính, quản trị Tài sản (Kế toán, thống kê, nhân sự, các
hệ thống kiểm soát, đánh giá báo)
Dịch vụ phần mềm (khai thác và xây dựng)…
Bảo mật ở mức vật lý:
Máy quay bảo vệ (CCTV)
Đồng hồ hệ thống, thiết bị an toàn sinh trắc( vân tay, mống mắt, …)
Hệ thống kiểm soát môi trường (Điều hòa nhiệt độ, độ ẩm, quạt gió,
báo cháy)
Điện lưới và nguồn điện dự phòng
Các thiết bị
Máy tính để bàn
Máy tính xách tay, thiết bị di động, máy tính bảng
Máy quay KTS, máy in, máy quét ảnh, máy sao chụp tài liệu...
10/10/20
13
12Mohan Kamat
Công nghệ - Công cụ nâng cao hiệu quả nghiệp
vụ

13. 1. Bảo vệ thông tin trước các đe dọa
2. Đảm bảo nghiệp vụ được liên tục
3. Giảm thiểu mất mát tài chính
4. Tối ưu hóa đầu tư
5. Gia tăng các cơ hội trong công việc
A
n
t
o
à
n
t
h
ô
n
g
t
i
n
An toàn thông tin có ý nghĩa sống còn với các
tổ chức
An toàn thông tin
10/10/20
13
13Mohan Kamat

14. ISO 27002:2005 mô tả An toàn thông tin như sự đảm
bảo các thuộc tính sau của thông tin:
– Tính mật - Confidentiality
Đảm bảo chỉ thông tin không
cung cấp cho những người
những người không được
phép
– Tính toàn vẹn - Integrity
Đảm bảo thông tin đầy đủ và
chính xác.
– Tính Sẵn sàng - Availability
Đảm bảo chỉ người, tiến trình
được phép mới có thể truy cập
vào Tài sản thông tin khi cần
thiết
A
n
t
o
à
n
t
h
ô
n
g
t
i
n
10/10/20
13
14Mohan Kamat

15. • Mất uy tín, thương hiệu
• Thiệt hại tài chính
• Mất mát sở hữu trí tuệ
• Vi pham pháp luật (Luật An toàn thông tin)
• Mất thông tin cá nhân
• Tăng chi phí do gián đoạn kinh doanh
Vi phạm An toàn thông tin sẽ dẫn đến các hậu
quả…
MẤT UY TÍN
10/10/20
13
15Mohan Kamat

16. • An toàn thông tin là vấn đề tổ chức hơn là vấn đề của
Công nghệ thông tin
• Hơn 70% nguy cơ xuất phát từ bên trong tổ chức
• Hơn 60% người vi phạm đầu là lần vi phạm đầu tiên
•Rủi ro lớn nhất: Con người
• Tài sản lớn nhất: Con người
• Các sinh hoạt xã hội là mối đe dọa chính
• Hơn 2/3 các người quản trị nói “Không biết hệ thống
của mình có mất an toàn không?”
A
n
t
o
à
n
t
h
ô
n
g
t
i
n
10/10/20
13
16Mohan Kamat

17. R
ủ
i
r
o
l
à
g
ì
Rủi ro là gì?
Rủi ro: Là khả năng mà một mối đe dọa khai thác
một lỗ hổng trong một Tài sản và gây thiệt hại
hoặc mất mát cho Tài sản
Mối đe dọa: Là điều có thê gây ra thiệt hại cho tổ
chức, hệ thống Công nghệ thông tin hoặc
mạng máy tinhd.
Lỗ hổng: Là một điểm yếu trong tổ chức, hệ thống
Công nghệ thông tin hoặc mạng máy tính
mà có thể khai thác bởi một mối đe dọa.
17

18. Mối quan hệ giữa Mối đe dọa, Rủi ro, Điểm yếu
Mối đe dọa Điểm yếu
Khai thác
* Biện pháp quản lý : là các hành động thực tế, các thủ tục, cơ chế giảm thiểu rủi ro
Rủi ro
Giá trị Tài sảnYêu cầu cần bảo vệ
Tài sản Thông tinBiện pháp
quản lý* reduce
18

19. M
ô
t
ả
m
ố
i
đ
e
d
ọ
a
Mô tả mối đe dọa
Các tác nhân chính gây ra mối đe dọa
Con người
Máy móc, thiết bị
Thiên nhiên (lụt lội, hỏa hoạn, độ ẩm…)
10/10/20
13
19Mohan Kamat

20. Mô tả mối đe dọa
Các Lý do
Lý do: là điều kích hoạt các tác nhân hoạt
động.
Tình cờ, ngẫu nhiên
Cố ý
Do con người (tình cờ, cố ý)
M
ô
t
ả
m
ố
i
đ
e
d
ọ
a
10/10/20
13
20Mohan Kamat

21. Mô tả mối đe dọa
Các yếu tố của mối đe dọa
Tính mật-Confidentiality
Toàn vẹn-Integrity
Sẵn sàng-Availability
M
ô
t
ả
m
ố
i
đ
e
d
ọ
a
10/10/20
13
21Mohan Kamat
CIA

22. Các mối đe dọa
• Người lao động
• Từ bên ngoài
• Nhận thức yếu về An toàn thông tin
• Sự lớn mạnh của mạng máy tính và các giải pháp xử lý phân tán
• Gia tăng các công cụ phá hoại trên mạng (hack), virus máy tính
• Thảm họa tự nhiên : Hỏa hoạn, lụt lội, động đất…
C
á
c
m
ố
i
đ
e
d
ọ
a
10/10/20
13
22Mohan Kamat

23. Nguồn gốc của các mối đe dọa
Nguồn gốc Lý do Mối đe dọa
Hacker bên ngoài •Thách đố
•Tự tôn
•Trò chơi
•Hack các hệ thống
•Khai thác các mối quan hệ
xã hội với các công cụ
•Khái thác các thông tin đã bị
loại bỏ
Hacker bên trong
nội bộ
Thúc ép tiến độ
Vấn đề tài chính
Hết cảm hứng với
công việc
Backdoors
Click Fraud
Tài liệu hồ sơ nghèo nàn
Khủng bố Trả thù
Chính trị
Tấn công hệ thống
Khai thác các mối quan hệ xã
hội
Bom thư
Viruses
Tấn công từ chối dịch vụ
DOS
Đào tạo chưa đầy đủ Sai sót không chủ ý
Lập trình sai
Nhập liệu sai
Phá hoại số liệu
Mã độc
Lỗi hệ thống
Truy nhập trai phép

24. TT Phân loại mối đe dọa Ví dụ
1 Lỗi do con người Ngẫu nhiên do nhân viên gây ra
2 Vấn đề bản quyền, sở hữu trí tuệ Vi phạm bản quyền
3 Cố ý phá hoại gián điêp Truy nhập trái phép, ưn cắp số liêu
4 Hành vi cố ý tống tiền Ăn cắp thông tin Công bố thông tin riêng tư,
Thư lừa đảo
5 Hành vi cố ý phá hoại Phá hoại thông tin, phá hoại hệ thống
6 Hành vi cố ý trộm cắp Ăn trộm thiết bị
7 Phát tán phầm mềm tấn công Viruses, worms, macros Denial of service
8 Sai lệch chất lượng dịch vụ Nguồn điện, mạng nội bộ, mạng Internet
9 Thảm họa thiên nhiên Cháy , lụt lội, động đất, sóng thần…
10 Lỗi ký thuật phần cứng Hư hỏng thiết bị
11 Lỗi kỹ thuật phần mềm Mã lỗi, Bugs, lập trình có mã lỗi, lỗ hổng bảo
mật không xác định
12 Công nghệ cũ
10/10/2013 24Mohan Kamat

25. Người sử dụng
hiểu biết nhiều về
IT
Trộm cắp, phá
hoại, lạm dụng
Tấn công do Virus
Lỗi mạng và hệ
thống
Thiếu tài
liệu, hồ sơ
Công tác bảo
vệ mức vật lý
chưa đủ
Các nguyên
nhân thiên tai
R
ủ
i
r
o
&
M
ố
i
đ
e
d
ọ
a
10/10/20
13
25Mohan Kamat

26. Vậy chúng
ta phải làm
gì để vượt
qua các vấn
đề trên?
10/10/20
13
26Mohan Kamat

27. Trước 1990
• BSI ban hành các bản hướng dẫn thực tế đảm bảo An toàn
thông tin
1995
• BS 7799 được ban hành và là chuẩn An toàn thông tin của
Vương quốc Anh
1999
• BS 7799 - 1:1999 ban hành lần 2
2000
• BS 7799 - 1 Được ISO chấp nhận là chuẩn quốc tê ISO
17799
• BS 7799-2:2002 Được phát hành
G
i
ớ
i
t
h
i
ệ
u
v
ề
I
S
O
2
7
0
0
1
Lịch sử ISO 27001
10/10/20
13
27Mohan Kamat

28. • ISO 27001:2005
Information technology — Security techniques —
Information security management systems —
Requirements
G
i
ớ
i
t
h
i
ệ
u
v
ề
I
S
O
2
7
0
0
1
• ISO 27002:2005
Information technology — Security techniques — Code
of practice for information security management
Lịch sử
10/10/20
13
28Mohan Kamat

29. ISO 27001: Là tiêu chuẩn quốc tế áp dụng cho tất cả các hình
thức tổ chức (Công y thương mại, tổ chức chính phủ, tổ chức phi
chính phủ). Tiêu chuẩn này mô tả yêu cầu cần thiết để thiết lập,
triển khai, vận hành, giám sát, quản trị, và phát triển một Hệ
thống đảm bảo An toàn thông tin (ISMS) với mục đích vượt qua
các rủi ro trong nghiệp vụ. ISO 27001 mô tả yêu cầu cho việc
triển khai các khâu kiểm soát theo đúng các nhu cầu của tổ chức
cũng như của từng bộ phận trong tổ chức.
Hệ thống đảm bảo An toàn thông tin (ISMS) được thiết kế để đảm
bảo việc lựa chọn các khâu điểu chỉnh đầy đủ và hợp lý mà vẫn
bảo vệ các Tài sản thông tin và bảo mật cho các bên sử dụng Tài
sản này.
ISO 27001
I
S
O
2
7
0
0
1
10/10/20
13
29Mohan Kamat

30. Các điểm chính chính của ISO 27001
• Hoạch định – Thực hiện – Xem xét lại – Hiệu
chỉnh nâng cấp Plan, Do, Check, Act (PDCA)
Process Model
• Tiếp cận dựa trên Quy trình nghiệp vụ
• Thúc đẩy quá trình nâng cấp hệ thống
• Phạm vi bao gồm không chỉ An toàn trong Công
nghệ thông tin mà toàn bộ vấn đề về thông tin.
• Bao gồm Con người, Quy trình, Công nghệ
Covers People, Process and Technology PPT
• Hơn 7400 tổ chức trên toàn có chứng nhận
• Bao gồm 11 vùng, 39 nhóm biện pháp quản
lý, 133 biện pháp quản lý
C
á
c
đ
i
ể
m
c
h
í
n
h
Các điểm chính của ISO 27001
10/10/20
13
30Mohan Kamat

31. Interested
Parties
Information
Security
Requirements
&
Expectations
PLAN
Establish
ISMS
CHECK
Monitor &
Review ISMS
ACT
Maintain &
Improve
Management Responsibility
ISMS PROCESS
Quy trình PDCA
Interested
Parties
Managed
Information
Security
DO
Implement &
Operate the
ISMS
P
D
C
A
P
R
O
C
E
S
S
10/10/2013 31Mohan Kamat

32. P
D
C
A

33. Chính sách An
toàn thông tin
Tổ chức nội bộ
Quản lý tài
sản
Đảm bảo An
toàn thông tin
từ nguồn nhân
lực
Đảm bảo an
toàn vật lý và
môi trường
Quản lý truyền
thông và vận
hành
Quản lý truy
cập
Tiếp
nhận, phát
triển duy trì
các hệ thống
thông tin
Quản lý sự cố
An toàn thông
tin
Quản lý sự
liên tục của
hoạt động
nghiệp vụ
Quản lý sự
tuân thủ
Sẵn sàng
C
á
c
V
ù
n
g
b
i
ệ
n
p
h
á
p
q
u
ả
n
l
ý
33

34. • Chính sách An toàn thông tin – Định hướng quản
lý và hỗ trợ đảm bảo An toàn thông tin.
• Tổ chức nội bộ – Nhằm quản lý An toàn thông tin
bên trong tổ chức.
• Quản lý tài sản – Nhằm hoàn thành và duy trì các
biện pháp bảo vệ thích hợp đối với tài sản thông tin
của tổ chức.
• Đảm bảo An toàn thông tin từ nguồn nhân lực
– Đảm bảo nhân viên, người của nhà thầu và bên
thứ ban hiểu rõ trách nhiệm của mình và phù hợp
với vai trò giảm thiểu với các rủi ro do đánh cắp,
gian lận lạm dụng chức năng, quyền hạn
• Đảm bảo an toàn vật lý và môi trường – Nhằm
ngăn chặn sự truy cập vật lý, làm hư hại và cản trở
thông tin và tài sản của tổ chức
10/10/20
13
34Mohan Kamat
C
á
c
V
ù
n
g
b
i
ệ
n
p
h
á
p
q
u
ả
n
l
ý

35. • Quản lý truyền thông và vận hành – Nhằm đảm
bảo sự vận hành các phương tiện xử lý thông tin đúng
đắn và an toàn
• Quản lý truy cập – Quản lý truy cập thông tin và các
quá trình cơ sở xử lý thông tin.
• Tiếp nhận, phát triển và duy trì các hệ thống
thông tin – Bảo đảm An toàn thông tin là phần không
thể thiếu trong các hệ thống thông tin
• Quản trị các sự cố ATTT - Nhằm đảm bảo các sự
kiện An toàn thông tin và các điểm yếu liên quan tới
các hệ thống thông tin được trao đổi để các hành động
khắc phục được tiến hành tạm thời.
10/10/20
13
35Mohan Kamat
C
á
c
V
ù
n
g
b
i
ệ
n
p
h
á
p
q
u
ả
n
l
ý

36. •Quản lý sự liên tục của hoạt động nghiệp vụ -
Chống lại các gián đoạn trong hoạt động nghiệp vụ và
bảo vệ các quá trình hoạt đôngh trọng yếu khỏi các ảnh
hưởng do lỗi hệ thống thông tin hay các thảm họa và
đảm bảo khả năng khôi phục các hoạt động bình thường
•Sự tuân thủ: - Nhằm tránh sự vi phạm pháp luật, quy
định, nghĩa vụ theo các hợp đồng đã ký kết và tránh sự vi
phạm các yêu cầu về đảm bảo An toàn thông tin To avoid
breaches of any criminal and civil
law, statutory, regulatory or contractual obligations and
of any security requirements.
10/10/20
13
36Mohan Kamat
C
á
c
V
ù
n
g
b
i
ệ
n
p
h
á
p
q
u
ả
n
l
ý

37. PLAN
Establish
ISMS
CHECK
Monitor &
Review ISMS
ACT
Maintain &
Improve
DO
Implement &
Operate the
ISMS
CHÍNH SÁCH An
toàn thông tin
Tổ chức nội bộ
trong công tác
An toàn thông
tin
Mô tả tài sản &
phân loại
Lựa chọn giải pháp
quản lý & Triển
khai
Thực hiên các
quy trình
Quản lý các việc
kiểm soát xem
xét lại hệ thống
Hiệu chỉnh quy
trình & Phòng
ngừa
Xem xét lại các
quy trình
C
h
u
t
r
ì
n
h
t
r
i
ể
n
k
h
a
i
c
á
c
q
u
y
t
r
ì
n
h
10/10/20
13
37Mohan Kamat

38. L
ợ
i
í
c
h
• Ở mức độ tổ chức – Cam kết
• Ở mức độ pháp lý – Sự tuân thủ
• Ở mức độ quản lý – Quản lý rủi ro
• Ở mức đọ thương mại – Tin cậy và bảo mật
• Ở mức độ tài chính - Giảm giá thành
• Ở mức độ con người(nhân văn)- nâng cao
nhận thức
10/10/20
13
38Mohan Kamat
CÁC LỢI ÍCH

39. T
r
á
c
h
n
h
i
ệ
m
10/10/20
13
39Mohan Kamat
TRUNG TÂM CỦA HỆ THỐNG LÀ
CON NGƯỜI

40. T
r
á
c
h
n
h
i
ệ
m
c
á
n
h
â
n
Chính sách An toàn thông tin
•Chính sách An toàn thông tin phải
được người đứng đầu tổ chức phê
duyệt và ban hành
•Công bố đến các cá nhân trong Tổ
chức
10/10/20
13
40Mohan Kamat

41. P
h
â
n
l
o
ạ
i
T
à
i
s
ả
n
T
h
ô
n
g
t
i
n
Mật:
Nếu các thông tin bị rò rỉ ra ngoài tổ chức sẽ gây ảnh hưởng đến tài chính, mất hình ảnh uy tín
của tổ chức sẽ được xếp loại thông tin mật. Các thông tin nếu lộ, mất sẽ là phanmj luật cũng được
coi là Mật
Cần giới hạn truy cập thông tin này, việc giới hạn theo nguyên tăc “nếu cần thiêt mới được biết”
Việc công khai thông tin cần được sự cho phép của chủ thông tin. Trong trường hợp thông tin này
cần thông báo cho bên thứ ba cần phải ký hợp đồng bảo mật. (Ví dụ: Hợp đồng, thông tin nhân
sự, cấu hình mạng máy tính….)
Thông tin nội bộ::
Nếu thông tin lộ ra ngoài thiệt hại tài chin, uy tín không đáng kể hoặc chỉ chút ít bối rối thì thông
tin này nên xếp vào loại thông tin nội bộ. Các Tài sản loại này co thể như: Kê hoachm chính sách
chung, tài liệu huấn luyện
Thông tin rộng rãi:
Là thông tin nếu lộ sẽ không có ảnh hưởng gì. Việc công bố các thông tin phải được phép (theo
pháp luật và quy định của tổ chức). Các thông tin như quảng cáo, tờ rơi,… thuộc loại thông tin
này
10/10/20
13
41Mohan Kamat
Phân loại tài sản thông tin

42. Tính mật – Tài sản Thông tin
Yêu cầu bảo mật Giải thích
Thấp Thông tin không nhạy cảm cho phép công khai. Việc
công khai Thông tin này không ảnh hưởng đến Tổ
chức. Ví du: các báo nội bộ, thông tin chung trên
Website
Trung bình Thông tin của công ty không được tiết lộ ra ngoài hay
cho bên thứ ba. Việc tiết lộ sẽ gây tác hại không lớn
cho Tổ chức
Ví dụ: Sơ đồ tổ chức, Sổ điện thoại nội bộ
Cao Thông tin rất nhạy cảm hoặc riêng tư hoặc các dữ liệu
có giá trị lớn của Tổ chức chỉ một số cá nhân được
biết. Việc lộ Thông tin này có thể nguy hại đến Tổ
chức (Ví dụ: Thông tin về giá, chiến lược của công
ty…)
Tính chất đảm bảo mọi thực thể được phép có thể truy cập và sử dụng theo yêu cầu
P
h
â
n
l
o
ạ
i
T
à
i
s
ả
n
T
h
ô
n
g
t
i
n
10/10/20
13
42Mohan Kamat

43. Tính toàn vẹn – Tài sản Thông tin
Yêu cầy về
tính toàn vẹn Giải thích
Thấp Tác động tối thiểu đến kinh doanh khi số
liệu bị sai lệch
Trung bình Nếu số liệu bị sai lệch sẽ dẫn đến tác
động đáng kể đến kết quả kinh doanh
Cao Việc sai lệch số liệu không được phép
chấp nhận
Tính chất đảm bảo sự chính xác và đầy đủ của các tài sản
Tính toàn vẹn bị mất nếu thay đổi trái phép hoặc hành vi vô tình hay hữu ý xảy ra trên dữ
liệu hoặc hệ thống Công nghệ thông tin.Nếu sự toàn vẹn của dữ liệu không thể khôi pục
được ta phải sử dụng các số liệu sai lệch sẽ dẫn đến ra các quyết định thiếu chính xác, sai
lầm thậm chí bị coi là lừa đảo.
P
h
â
n
l
o
ạ
i
T
à
i
s
ả
n
T
h
ô
n
g
t
i
n
10/10/20
13
43Mohan Kamat

44. Tính Sẵn sàng của tài sản Thông tin
Yêu cầu độ
sẵn sàng Giải thích
Thấp Thông tin cung cấp được trong 7 ngày
Trung bình Thông tin cung cấp được trong 48 giờ
Cao Thông tin cung cấp được tức thì
Tính sẵn sàng được hiểu như khả năng cung cấp thông tin sớm khi
có yêu cầu.
Khi thông tin không sẵn sàng các nghiệp vụ sẽ bị ảnh hưởng
P
h
â
n
l
o
ạ
i
T
à
i
n
g
u
y
ê
n
T
h
ô
n
g
t
i
n
10/10/20
13
44Mohan Kamat

45. Các tài sản phi thông tin
Thông tin được xủ lý với sự hỗ trợ của công nghệ. Các tài
sản. Các tài sản cung cấp các dịch vụ giúp chúng ta khởi
tạo, xử lý, kết xuất, lưu trữ Thông tin là tài sản loại này.
Tài sản này cần được xác định và đánh giá mức độ quan
trọng.
C
á
c
t
à
i
s
ả
n
k
h
ô
n
g
m
a
n
g
t
h
ô
n
g
t
i
n
10/10/20
13
45Mohan Kamat

46. Tính mật của tài sản phi thông tin
Tính mật được xác định được bởi các tính năng của tài sản được sử dụng trong nghiệp
vụ mà thông tin được khởi tạo, xư lý
Yêu cầu bảo mật Giải thích
Thấp Các tài sản xử lý hay lưu trữ các thông tin có
độ mật thấp sẽ có tính mật thâp
Trung bình Các tài sản xử lý hay lưu trữ các thông tin có
độ mật trung bình sẽ có tính mật trung bình
Cao Các tài sản xử lý hay lưu trữ các thông tin có
độ mật cao sẽ có tính mật cao
.
10/10/20
13
46Mohan Kamat
C
á
c
t
à
i
s
ả
n
k
h
ô
n
g
m
a
n
g
t
h
ô
n
g
t
i
n

47. Tính toàn vẹn của tài sản phi thông tin
Tính toàn vẹn được xác đinh bởi độ tin cậy của các tài sản trong hoạt đông
nghiệp vụ và yêu cầu về tính toàn vẹn của thông tin được lưu trữ hay xử lý
trong tài sản đó.
Yêu cầu về
tính toàn vẹn Giải thích
Thấp •Độ tin cậy của các dịch vụ mà tài sản cung cấp thấp
•Thông tin được xử lý hay lưu trữ trong tài sản có yêu
cầu về độ toàn vẹn là thấp
Trung bình •Độ tin cậy của các dịch vụ mà tài sản cung cấp là
Trung bình
•Thông tin được xử lý hay lưu trữ trong tài sản có yêu
cầu về độ toàn vẹn là Trung bình.
Cao •Độ tin cậy của các dịch vụ mà tài sản cung cấp là
Cao
•Thông tin được xử lý hay lưu trữ trong tài sản có yêu
cầu về độ toàn vẹn là Cao.
10/10/20
13
47Mohan Kamat
C
á
c
t
à
i
s
ả
n
k
h
ô
n
g
m
a
n
g
t
h
ô
n
g
t
i
n

48. N
O
N
I
N
F
O
A
S
S
E
T
C
L
A
S
S
I
F
I
C
A
T
I
O
N
Tính sẵn sàng của tài sản phi thông tin
Tính sẵn sàng được xác định bởi ảnh hưởng của tài sản khi nó không sẵn
sàng cung cấp dịch vụ Availability factor is to be determined on the basis of
impact of non availability of the asset on the business process. This table
provides a guideline to identify the Availability requirements and its link to
Classification label.
Yêu cầu tính
sẵn sàng Giải thích
Low •Khi tài sản không sẵn sàng ảnh hưởng thấp đến
nghiệp vụ
•Thông tin được xủ lý lưu trữ trong tài sản hoặc
dịch vụ mà tài sản cung cấp là thấp
Medium •Khi tài sản không sẵn sàng ảnh hưởng trung bình
đến nghiệp vụ
•Thông tin được xủ lý lưu trữ trong tài sản hoặc
dịch vụ mà tài sản cung cấp là trung bình
High •Khi tài sản không sẵn sàng ảnh hưởng cao đến
nghiệp vụ
•Thông tin được xủ lý lưu trữ trong tài sản hoặc
dịch vụ mà tài sản cung cấp là cao
10/10/20
13
48Mohan Kamat

49. P
h
â
n
l
o
a
i
T
à
i
n
g
u
y
ê
n
C
o
n
n
g
ư
ờ
i
Tài nguyên con người
Thông tin được truy cập hoặc xử lý bởi những người từ bên trong tổ chức
cũng như những người có liên quan để tổ chức cho các yêu cầu nghiệp
vụ.
Việc xác định rõ những người bên trong tổ chức cũng như những người
bên ngoài nhưng cùng sử dụng tài sản Thông tin cũng trở nên cần thiết
Việc cấp quyền được cấp bởi người đứng đầu bộ phận quản lý nghiệp vụ
(QA)
Tài nguyên con người có thể gồm
a. Nhân viên
b. Nhân viên hợp đồng
c. Đối tác và nhân viên của họ
10/10/20
13
49Mohan Kamat

50. Tính mật với tài nguyên con người
Yêu cầu bảo
mật Giải thích
Thấp Các vị trí chỉ khai thác thông tin công khai, Khi
họ vi phạm sẽ không ảnh hưởng lắm đến
nghiệp vụ
Trung bình Các vị trí khai thác thông tin Nội bộ và công
khai. Khi họ vi phạm sẽ gây ra các thiệt hại
không lớn
High Các vị trí khai thác tất cả các thông tin bao
gồm cả thông tin Mật hay các tài sản Công
nghệ thông tin quan trọng. Khi họ vi phạm sẽ
gây ra các thiệt hại lớn
T
à
i
n
g
u
y
ê
n
c
o
n
n
g
ư
ờ
i
10/10/20
13
50Mohan Kamat

51. Tính toàn vẹn của tài nguyên con người
Yêu cầu về
tính toàn vẹn Giải thích
Thấp Các vị trí có quyền hạn chế thay đổi các Thông tin
thuộc loại “công khai” hay “Nội bộ” và các thao tác
của họ được quản lý. Khi họ vi phạm tạc động không
lớn đên tổ chức.
Trung bình Các vị trí có quyền hạn chế thay đổi các Thông tin
thuộc loại “công khai” hay “Nội bộ” và các thao tác
của họ được quản lý. Khi họ vi phạm tạc động với
mức đọ vừa phải đên tổ chức.
High Các vị trí có quyền hạn chế thay đổi các Thông tin
thuộc loại “Mật” hay thay đổi cấu hình các tài sản
Công nghệ thông tin quan trọng và các thao tác của
họ được quản lý. Khi họ vi phạm tạc động lớn đên tổ
chức.
T
a
i
n
g
u
y
ê
n
c
o
n
n
g
ư
ờ
i
10/10/20
13
51Mohan Kamat

52. Tính sẵn sàng của tài nguyên con người
Yêu cầu về
tính sẵn
sàng Giải thích
Thấp Các cá nhân khi vắng mặt họ sẽ không
ảnh hưởng đến hoạt động nghiệp vụ.
Trung bình Các cá nhân khi vắng mặt họ sẽ ảnh
hưởng mức trung bình đến hoạt động
nghiệp vụ.
Cao Các cá nhân khi vắng mặt họ sẽ không
ảnh hưởng lớn đến hoạt động nghiệp vụ.
10/10/20
13
52Mohan Kamat
T
a
i
n
g
u
y
ê
n
c
o
n
n
g
ư
ờ
i

53. T
r
á
c
h
n
h
i
ệ
m
c
á
n
h
â
n
Kiểm soát truy nhập mức vật lý
• Tuân thủ các quy trình Bảo mật
• Luôn đeo thẻ ngành Wear Identity Cards and Phù hiệu
• Yêu cầu khách cung cấp thông tin
• Yêu cầu khách chỉ đến khu vực Tiếp tân và Phòng họp
• Đưa khách vào khu vực làm việc mà họ không được phép
• Mang theo hóa chất độc hại dễ cháy nổ vào khu vực cần
đảm bảo an toàn
• Không đưa các xác thực của nhân viên cho khách thăm
• Mang các thẻ nhớ, Ipod… hay các thiết bị lưu trữ hoặc
các thiêt bị tương tự
10/10/20
13
53Mohan Kamat

54. Hướng dẫn quy tắc mật khẩu
 Ít nhất 8 chữ cái với chữ số và các dấu (*, %, @, #, $, ^)
 Dùng mật khẩu dễ nhớ đối với riêng bạn
 Thây đổi mật khẩu thường xuyên theo chính sách
 KHông dùng mặt khẩu đã sử dụng
Dùng mật khẩu có liên quan nhiều đên bạn
Viết ra hoặc lưu trữ mật khẩu ở các dạng dễ truy cập
Chia sẻ mật khẩu qua điện thoai, thư điện tử
Sử dụng các mật khẩu không đáp ứng quy định
10/10/20
13
54Mohan Kamat
T
r
á
c
h
n
h
i
ệ
m
c
á
n
h
â
n

55. T
r
á
c
h
n
h
i
ệ
m
c
á
n
h
â
n
Các bộ phận công nghệ liên tục theo dõi việc sủ dụng
Internet. Bất kỳ dấu hiệu bất hợp pháp sử dụng tài nguyên
và mạng Internet phải bị xử lý
 Không sử dụng Internet qua đường quay số điện thoại
 Không dung Internet xem lưu trữ phát tán hính hảnh khiêu
dâm
 Không dùng Internet truy cập các trang đấu giá
 Không dùng Internet để tấn công các máy tính khác.
 Không dùng Internet lấy các phần mềm vi phạm bản quyền
 Chỉ sủ dụng Internet cho công việc
Sủ dụng Internet
10/10/20
13
55Mohan Kamat

56. Sử dụng thư điện tử
 Không sủ dụng tài khoản thư điện cho công việc cá nhân
 Không gủi thư điện tử không có lý do, các thư lớn hoặc thư có
tính lừa đảo
 Không gửi thư tới khách hàng trừ khi được phép làm
 Không gửi các thư ngoài nghiệp vụ đên một số lơn người
nhận
 Không mở thư hoạc các tệp đính kèm có nghi ngờ virus hoặc
thư từ người gửi không rõ ràng.
Chỉ sử dụng thư điện tử cho công tác nghiệp vụ
Thực hiên các hướng dẫn lưu trữ để tránh các thư điện tử bị
chặn
 Nếu nhận được thư rác hay chứa mã độc cần:
a) Xoá thư ngay.
b) Thông báo cho bộ phận hỗ trợ An toàn thông tin
c) Thông báo cho người quản trị máy chủ thư điện tử
d) Thông báo cho người gửi về việc không chấp nhận thư
10/10/20
13
56Mohan Kamat
T
r
á
c
h
n
h
i
ệ
m
c
á
n
h
â
n

57. T
r
á
c
h
n
h
i
ệ
m
c
á
n
h
â
n
Sự cố An toàn thông tin
Thông báo sự cố mất An toàn thông tin đến một
địa chỉ duy nhất
• Thư điện tử tới: info.sec@organisation.COM
• Điện thoại: xxxx-xxxx-xxxx
• Khách không rõ dịnh danh qua trang web (drop-box)
Ví dụ:
Thuộc về Công nghệ thông tin: Thư rác, tấn công của virus,tin tặc…
Không thuộc IT: khách thăm không có giám sát, Lộ Thông tin, cầm các
tài liệu thiết bj lưu trữ không hợp pháp
•Không bàn bạc về các sự cố bảo mật với bất lỳ ai ngoài tổ chức, cơ quan
•Không ngăn chặn, can thiệp, cản trở bất kỳ ai báo cáo sự cố
10/10/20
13
57Mohan Kamat

58. T
r
á
c
h
n
h
i
ệ
m
c
á
n
h
â
n
 Chắc chăn rằng tất các bảng vá cho các phần mềm trên máy
tính của bạn đã được cập nhật bản mơi nhất
 Chắc chắn rằng chương trình chống virus máy tính của bạn
được cập nhật bản mới nhất
 Hệ thống của bạn phải đảm bảo đã khóa khi bạn đi ra ngoài
 Luôn giữ máy tính của bạn và các thiết bị lư chữ tại nơi chắc
chắn, có khóa
 Cần nhắc nhở khi dùng máy tính xách tay trong khi di chuyển.
 Đảm bảo các thông tin nghiệp vu nhạy cảm được bảo quản tôt
có khóa
 Việc lưu trữ dự phòng tài sản thông tin nhạy cảm và quan trọng
được thực hiện tốt
 Năm được các điều luật như :
Nghị định 72
 Kiểm tra các thông tin nếu nhận được thư, tin nhắn từ nguwoif
không quen biết
 Luôn tắt máy tính khi không làm việc
 Luôn cập nhật các vấn đề về An toàn thông tin
10/10/20
13
58Mohan Kamat

59. “Bức tường” người thống nhất luôn tốt hơn Tường lửa
… Hãy xây dựng tổ chức thành “Bức tường” người cùng với Tường lửa
10/10/2013 59Mohan Kamat

60. 10/10/2013 60Mohan Kamat