SlideShare a Scribd company logo

BaiDaoTao Nhan Thuc_ISO/IEC 27001 va ISMS

D
DzungNguyenTran

Awareness for people (in Vietnamese) about ISMS

Leadership & Management
1 of 85
Download to read offline
ĐÀO TẠO NHẬN THỨC HỆ THỐNG QUẢN LÝ AN TOÀN THÔNG TIN theo TIÊU CHUẨN ISO/IEC 27001:2013 Ngày năm 2021 Người trình bày:
MỤC ĐÍCH: Ø Đào tạo nhận thức về hệ thống quản lý an toàn thông tin theo tiêu chuẩn ISO/IEC 27001:2013 ĐỐI TƯỢNG: Ø Lãnh đạo Ø Cán bộ quản lý
NỘI DUNG TRÌNH BÀY [1] [3] Tiêu chuẩn ISO/IEC 27001:2013 [2] Khái niệm và nguyên tắc ISMS [4] Các bước triển khai ISMS [5] Hỏi và Đáp An toàn thông tin
• Định nghĩa thông thường: là thông báo tin, “là điều được truyền đi, báo cho biết sự việc xảy ra, là tất cả những gì mang lại hiểu biết cho người tiếp nhận” Thông tin giúp làm tăng hiểu biết của con người, là nguồn gốc của nhận thức và là cơ sở của quyết định. • Định nghĩa theo ISO: “Thông tin là dữ liệu có ý nghĩa” Thông tin là gì?
Mô hình DIKW
• Các dạng thức: – âm thanh, lời nói, hình ảnh, chữ viết/con số/ký hiệu, ... – kinh nghiệm, kiến thức, ý tưởng, sáng chế, bí kíp, uy tín, thương hiệu • Các lưu trữ điển hình: – trên giấy, các vật liệu; – phương tiện số/điện tử/quang (băng, đĩa, USB, e-clouds); – Các hệ thống xử lý thông tin; mạng; kênh truyền tin; – trong não bộ con người Các dạng tồn tại của Thông tin
• Tạo mới • Thu thập • Xử lý (sao chép, sửa đổi; sắp xếp, chọn lọc, phân tích, tổng hợp) • Lưu trữ • Truyền tải • Bảo vệ • Phá hủy Các hành động đối với Thông tin Các hành động đối với thông tin đều tiềm ẩn rủi ro đến an toàn thông tin.
Tài sản Thông tin trong tổ chức 1. Thông tin về Chiến lược: các chiến lược, kế hoạch tổng thể, mục tiêu 2. Thông tin về Sản phẩm và dịch vụ 3. * Sở hữu trí tuệ/Bí mật thương mại: bản quyền, bí quyết, công nghệ, công thức, thiết kế, quy trình ...; Tài liệu đào tạo; Phương tiện tiếp thị: poster, video, bài trình bày 4. * Thông tin tài chính: tài khoản, báo cáo tài chính, 5. * Thông tin về Pháp lý & Tuân thủ 6. * Thông tin nhân sự 7. * Thông tin tiềm lực: quân số, lực lượng, kho tàng, dự trữ, dự phòng 8. Thông tin về Kế hoạch, Phương án dự kiến 9. Thông tin về Văn hóa của tổ chức 10. Thông tin vận hành: thông số vận hành sản xuất, phương thức ... 11. Thông tin hỗ trợ ra quyết định: công cụ, thông tin tổng hợp, phân tích data 12. Thông tin nội bộ: chỉ đạo, báo cáo, lịch hoạt động, 13. Thông tin về Dự án; Nghiên cứu & Phát triển 14. * Thông tin mật: các thông tin xác định là bí mật, tối mật, tuyệt mật 15. * Thông tin khách hàng
Thông tin là tài sản có giá trị của tổ chức “Thông tin là một tài sản, giống như các tài sản nghiệp vụ quan trọng khác, là điều cần thiết cho nghiệp vụ của tổ chức và do đó cần được bảo vệ thích hợp. Thông tin có thể được lưu trữ dưới nhiều hình thức, bao gồm: hình thức kỹ thuật số (ví dụ như tập tin dữ liệu được lưu trữ trên phương tiện lưu trữ điện tử hoặc quang học), hình thức vật chất (ví dụ như trên giấy). Thông tin có thể được truyền bằng các phương tiện khác nhau bao gồm: chuyển phát nhanh, giao tiếp điện tử hoặc bằng lời nói. Bất cứ hình thức mang thông tin nào hoặc các phương tiện mà thông tin được truyền đi, thông tin luôn luôn cần được bảo vệ thích hợp.”
Nguy cơ đối với an toàn thông tin • Các cuộc tấn công phá hoại, lừa đảo, gián điệp • Các sai sót/chủ định xấu của con người • Các lỗi công nghệ thiết bị • Tác động của môi trường, tự nhiên: động đất, hỏa hoạn • Các điểm yếu vốn có khi sử dụng thông tin Thông tin và các tài sản chứa thông tin cần được bảo vệ thích đáng
14
15
16
Theo đánh giá của Ban Cơ yếu Chính phủ năm 2020: 1. Tấn công mạng, đặc biệt là tấn công lây nhiễm mã độc sử dụng trí tuệ nhân tạo (AI); 2. Tấn công mạng vào các hệ thống thương mại điện tử, tài chính - ngân hàng... với mục tiêu tống tiền, đánh cắp thông tin, dữ liệu của tổ chức, cá nhân; 3. Tấn công vào hạ tầng, thiết bị IoT, đô thị thông minh; đồng thời lợi dụng các hạ tầng, thiết bị này đề thực hiện tấn công mạng; 4. Tấn công mạng có chủ đích vào các cơ quan, tổ chức nhà nước nhằm lấy cắp thông tin bí mật nhà nước; 5. Giả mạo các cơ quan, tổ chức, cá nhân để bôi nhọ, nói xấu và phát tán thông tin độc hại trên mạng. 5 nguy cơ chính về An toàn thông tin ở VN
An toàn thông tin (ISO) - Bảo mật (Confidentiality) - Toàn vẹn (Intergrity) - Sẵn sàng (Availability) Tam giác an toàn thông tin Information Security – An toàn thông tin Đặc trưng của an toàn thông tin:
Bảo mật: “Đặc tính thông tin không sẵn sàng cung cấp hoặc không được tiết lộ cho các cá nhân, thực thể hoặc các quá trình không được phép” – ISO/IEC 27000 VD: - Khóa kín, niêm phong thiết bị - xác thực username + password/ phraseword hay sinh trắc - Mã hóa thông tin bằng giao thức và thuật toán mạnh C An toàn thông tin (ISO)
Toàn vẹn: “Đặc tính về độ chính xác và đầy đủ” - ISO/IEC 27000 Thông tin chỉ được phép xóa hoặc sửa hợp lệ và phải đảm bảo rằng thông tin vẫn chính xác khi được lưu trữ hay truyền đi. VD: - Thay đổi giao diện trang chủ của một website. - Chặn, thay đổi gói tin gửi qua mạng. - Chỉnh sửa trái phép các file lưu trữ I An toàn thông tin (ISO)
Sẵn sàng: “Đặc tính có thể truy cập và sử dụng được theo yêu cầu của một chủ thể được phép” VD: - một server ngừng cung cấp dịch vụ trong vòng 5 phút/năm thì độ sẵn sàng là 99,999%. - quản lý tốt mật khẩu, khoá - sao lưu/dự phòng A An toàn thông tin (ISO)
Thế nào là An toàn thông tin? An toàn thông tin là bảo toàn C.I.A. “Đảm bảo thông tin chính xác, đầy đủ, sẵn có đúng lúc cho những nhu cầu hợp lệ, là đem lại hiệu quả cho tổ chức” “An toàn thông tin liên quan đến việc áp dụng và quản lý các biện pháp an ninh thích hợp có liên quan đến việc xem xét các mối đe dọa, với mục tiêu đảm bảo kinh doanh bền vững thành công, duy trì liên tục và giảm thiểu tác động của các sự cố an toàn thông tin”.
An toàn thông tin không chỉ là IT An toàn thông tin An toàn công nghệ thông tin & truyền thông An ninh mạng
1. Tài sản thông tin rất quan trọng và tồn tại nhiều nơi, 2. Luôn đối diện nguy cơ về an toàn (phá hoại, gián điệp, lừa đảo; thiếu kiến thức, vô ý thức; hoả hoạn, bão lụt). 3. Các thiệt hại do mã độc, DoS, hacking, Ransomware... ngày càng tăng tiến, phức tạp. 4. Việc chia sẻ thông tin khi kết nối giữa mạng chung và mạng riêng, giữa tổ chức và các bên quan tâm làm khó khăn cho kiểm soát truy cập và xử lý thông tin 5. Việc sử dụng thiết bị di động làm giảm hiệu lực kiểm soát 6. Không đưa ATTT vào khi thiết kế xây dựng các hệ thống sẽ khó khăn và tốn kém về sau Nhu cầu bảo vệ an toàn thông tin Bảo vệ tài sản thông tin thông qua việc xác định, thực hiện, duy trì và cải thiện hiệu quả an toàn thông tin là cần thiết, cho phép một tổ chức đạt được mục tiêu của mình cũng như duy trì và nâng cao hình ảnh và tính tuân thủ luật pháp của tổ chức.
Giải pháp đảm bảo ATTT • Giải pháp cho vấn đề quản lý an toàn thông tin của một tổ chức phải là toàn diện, có hệ thống và thích ứng kịp thời với tình hình an ninh thông tin. Ngoài việc tuân thủ các quy định pháp luật, cần có một hệ thống quản lý tiên tiến và khoa học để quản lý an toàn thông tin
• an toàn thông tin (information security) Là sự bảo toàn của việc bảo mật, toàn vẹn và tính sẵn có của thông tin • Tính sẵn sàng (availability): Đặc tính có thể truy cập và sử dụng được theo yêu cầu của một thực thể được phép • Tính toàn vẹn (integrity): Đặc tính về độ chính xác và đầy đủ • Tính bí mật (confidentiality): Đặc tính thông tin không sẵn sàng cung cấp hoặc không được tiết lộ cho các cá nhân, thực thể hoặc các quá trình không được phép. • Tính tin cậy (reliability): Đặc tính của hành vi và kết quả trù định có tính nhất quán. • Tính xác thực (authenticity): Đặc tính mà một chủ thể là thứ đã được tuyên bố. • Chống chối bỏ (non-repudiation): Khả năng chứng minh sự xuất hiện của một sự kiện hoặc hành động đã yêu cầu và các thực thể sinh ra chúng. Thuật ngữ
• yêu cầu (requirement): nhu cầu hay mong đợi được tuyên bố, thường là ngụ ý hay bắt buộc. • sự phù hợp (conformity): sự thực hiện đầy đủ một yêu cầu. • chính sách (policy): Mục đích và định hướng của một tổ chức được thể hiện chính thức bởi ban quản lý cấp cao • mục tiêu (objective): Kết quả cần đạt được • quá trình (process): tập hợp các hoạt động có liên quan hoặc tương tác lẫn nhau nhằm biến các đầu vào thành các đầu ra. • quy trình (procedure): cách thức cụ thể để tiến hành một hoạt động hay quá trình. • mối đe dọa (threat): nguyên nhân tiềm ẩn có thể gây ra sự cố không mong muốn, làm hại đến hệ thống hoặc tổ chức. • lỗ hổng/điểm yếu (vulnerabilities): Là điểm yếu của tài sản/biện pháp kiểm soát mà có thể bị lợi dụng bởi 1 hay nhiều mối đe dọa. • rủi ro (risk): Tác động của sự không chắc chắn đến mục tiêu. *Rủi ro an toàn thông tin có liên quan đến khả năng phát sinh mối đe dọa khai thác điểm yếu của một tài sản thông tin hoặc một nhóm các tài sản thông tin và do đó gây ra thiệt hại cho tổ chức. • biện pháp kiểm soát (control): Biện pháp làm thay đổi rủi ro. Thuật ngữ
NỘI DUNG TRÌNH BÀY [1] [3] Tiêu chuẩn ISO/IEC 27001:2013 [2] Khái niệm và nguyên tắc ISMS [4] Các bước triển khai ISMS [5] Hỏi và Đáp An toàn thông tin
Khái niệm Quản lý của ISO • Quản lý: là các hoạt động chỉ đạo, kiểm soát và cải tiến liên tục tổ chức trong cấu trúc thích hợp Hoạt động quản lý bao gồm hành động, cách thức, hay thực hành tổ chức, xử lý, chỉ đạo, giám sát và kiểm soát các nguồn tài nguyên • Quản lý ATTT: • Là việc giám sát và ra các quyết định cần thiết để đạt được mục tiêu kinh doanh thông qua việc bảo vệ tài sản thông tin của tổ chức; • được thể hiện qua việc xây dựng và áp dụng các chính sách, thủ tục, hướng dẫn an toàn thông tin và áp dụng trong toàn bộ tổ chức bởi tất cả các cá nhân liên quan trong tổ chức.
Tiếp cận theo quá trình • Các tổ chức cần phải xác định và quản lý nhiều hoạt động để thực hiện chức năng hiệu quả và hữu hiệu. • Mọi hoạt động có sử dụng tài nguyên cần phải được quản lý để cho phép việc chuyển đổi đầu vào thành đầu ra sử dụng một tập hợp các hoạt động có liên quan hay có tương tác. Đây được xem như một quy trình. Kết quả của một quy trình có thể trực tiếp tạo thành đầu vào cho quy trình khác và thường việc chuyển đổi này được thực hiện trong điều kiện có kế hoạch và có kiểm soát. • Việc áp dụng một hệ thống các quy trình trong tổ chức, cùng với sự nhận biết và tương tác giữa các quy trình và việc quản lý chúng có thể được gọi là một "cách thức tiếp cận quy trình".
PDCA Sử dụng chu trình PDCA (Edward Demming) để quản lý các Quá trình: Lập Kế hoạch PLAN - Đặt ra các mục tiêu của hệ thống, - XD các quá trình, nguồn lực cần thiết để đạt các KQ theo yêu cầu của kế hoạch, theo chính sách của TC. - Nhận biết & giải quyết các rủi ro & cơ hội. Thực hiện DO Thực hiện những gì đã lập Kế hoạch Kiểm tra CHECK - Theo dõi và đo lường các quá trình & KQ so với các chính sách, mục tiêu, yêu cầu & các hoạt động theo kế hoạch. - Báo cáo các KQ. Hành động Khắc phục ACT Thực hiện các hành động để cải tiến các KQ thực hiện khi cần thiết.
Quá trình ISMS theo PDCA Plan Act Do Các bên quan tâm ATTT được quản lý Thực hiện & Vận hành ISMS Thiết lập ISMS Duy trì và Cải tiến ISMS Theo dõi & Soát xét ISMS Check Trách nhiệm quản lý Các yêu cầu về ATTT Các bên quan tâm Các bên quan tâm Các yêu cầu về ATTT Các bên quan tâm
Quản lý an toàn thông tin • Thành phần cơ bản của quản lý an toàn thông tin: Các hoạt động phối hợp định hướng cho việc: - triển khai các biện pháp kiểm soát thích hợp, - xử lý các rủi ro về an toàn thông tin • Những rủi ro an toàn thông tin và hiệu quả của các biện pháp kiểm soát luôn thay đổi phụ thuộc vào hoàn cảnh thay đổi, các tổ chức cần phải: 1. giám sát và đánh giá hiệu quả của các biện pháp kiểm soát và các thủ tục đã được triển khai; 2. xác định những rủi ro mới xuất hiện cần được xử lý; 3. lựa chọn, thực thi và cải thiện các biện pháp kiểm soát thích hợp khi cần thiết. • Tổ chức cần phải xây dựng chính sách và mục tiêu an toàn thông tin của mình và đạt được những mục tiêu đó một cách hiệu quả bằng cách sử dụng ISMS.
Hệ thống quản lý ATTT là gì? • Một hệ thống quản lý sử dụng một cơ cấu các nguồn lực để đạt được mục tiêu của tổ chức. Hệ thống quản lý bao gồm: cơ cấu, chính sách, hoạt động lập kế hoạch, trách nhiệm, thực hành, quy trình, quá trình và nguồn lực của tổ chức. • Hệ thống quản lý an toàn thông tin cho phép một tổ chức thực thi: a) đáp ứng các yêu cầu an toàn thông tin của khách hàng và các bên liên quan khác; b) cải tiến các kế hoạch và hoạt động của một tổ chức; c) đáp ứng các mục tiêu an toàn thông tin của tổ chức; d) tuân thủ các quy định, pháp luật và các yêu cầu bắt buộc của lĩnh vực; e) quản lý tài sản thông tin một cách có tổ chức tạo điều kiện cải tiến liên tục và điều chỉnh các mục tiêu tổ chức hiện hành.
Hệ thống quản lý ATTT-ISMS • Là hệ thống để quản lý việc bảo vệ an toàn thông tin của tổ chức • Là hệ thống quản lý: “việc thiết lập, triển khai, duy trì, vận hành, giám sát, xem xét và cải tiến liên tục ATTT để đạt mục tiêu công việc” Information Security Management System - ISMS • ISMS bao gồm các thành phần: - cơ cấu tổ chức; - các chính sách; - quy hoạch; - trách nhiệm; - quá trình; - quy trình - thực hành/thông lệ, - các nguồn lực
Hệ thống quản lý ATTT-ISMS 1. ISMS là một cách tiếp cận có hệ thống để thiết lập, triển khai, vận hành, giám sát, soát xét, duy trì và cải tiến an toàn thông tin của tổ chức để đạt được mục tiêu nhiệm vụ. 2. Cách tiếp cận này dựa trên đánh giá rủi ro và mức chấp nhận rủi ro được thiết kế để xử lý và quản lý rủi ro có hiệu quả. 3. Việc phân tích các yêu cầu về bảo vệ tài sản thông tin và áp dụng các biện pháp kiểm soát thích hợp để đảm bảo việc bảo vệ các tài sản thông tin sẽ góp phần vào việc thực hiện thành công một hệ thống ISMS.
ISMS quản lý những gì? 1. Bối cảnh của Tổ chức; 2. Lãnh đạo và Cam kết 3. Mục tiêu ATTT; 4. Chính sách ATTT 5. Vai trò, trách nhiệm và năng lực; 6. Quản lý rủi ro; 7. Giám sát hiệu suất & KPIs; 8. Tài liệu; 9. Trao đổi thông tin 10. Năng lực và Nhận thức; 11. Mối quan hệ với nhà cung cấp 12. Kiểm toán nội bộ; 13. Quản lý sự cố 14. Cải tiến liên tục; 15. Quản lý tài sản; 16. Quản lý truy cập; 17. Quản lý mã hóa; 18. An ninh vật lý và môi trường; 19. An ninh vận hành;20. An ninh truyền thông 21. An ninh trong tiếp nhận, phát triển và duy trì hệ thống 22. An ninh trong đảm bảo Kinh doanh liên tục 23. Quản lý tuân thủ; 24. Thiết bị di động và làm việc từ xa; 25. An ninh trong phát triển dự án
Nguyên tắc để thực hiện thành công ISMS a) nhận thức về sự cần thiết của an toàn thông tin; b) phân công trách nhiệm đảm bảo an toàn thông tin; c) kết hợp cam kết quản lý và lợi ích của các bên liên quan; d) nâng cao giá trị xã hội; e) việc đánh giá rủi ro quyết định các biện pháp kiểm soát thích hợp để đạt được mức độ chấp nhận rủi ro; f) hợp tác về an ninh như một yếu tố thiết yếu của mạng lưới thông tin và hệ thống; g) Ngăn chặn và phát hiện một cách tích cực các sự cố an toàn thông tin; h) đảm bảo một cách tiếp cận toàn diện để quản lý an toàn thông tin; và i) đánh giá lại liên tục an toàn thông tin và thực hiện các sửa đổi cho phù hợp.
Tại sao ISMS lại quan trọng ? Việc áp dụng thành công một hệ thống ISMS là điều quan trọng để bảo vệ tài sản thông tin cho phép một tổ chức: 1. đảm bảo rằng thông tin của mình được bảo vệ đầy đủ chống lại các mối đe dọa liên tục; 2. duy trì một bộ khung toàn diện, có cấu trúc để xác định và đánh giá rủi ro an toàn thông tin, lựa chọn và áp dụng các biện pháp kiểm soát khả dụng, đo lường và cải thiện hiệu quả của chúng; 3. liên tục cải thiện môi trường kiểm soát; 4. Đạt được tuân thủ pháp luật và các quy định một cách hiệu quả.
5 lợi ích cho tổ chức: 1. Tuân thủ (Luật định, chế định, hợp đồng) 2. đáp ứng các mục tiêu an toàn thông tin của tổ chức; đáp ứng các yêu cầu an toàn thông tin của khách hàng và các bên liên quan khác 3. Tăng tính cạnh tranh 4. Giảm chi phí. 5. Tổ chức tốt và hoạt động hiệu quả Lợi ích của ISMS Bảo vệ An toàn Thông tin
Thiết lập, giám sát, duy trì và cải tiến ISMS 1. Xác định tài sản thông tin và yêu cầu an toàn thông tin liên quan; 2. Đánh giá rủi ro an toàn thông tin và 3. Xử lý rủi ro an toàn thông tin; 4. Lựa chọn và thực hiện các biện pháp kiểm soát liên quan đến quản lý rủi ro không thể chấp nhận; 5. Giám sát, duy trì và nâng cao hiệu quả các biện pháp kiểm soát tài sản thông tin của tổ chức. 6. thực hiện các bước (1) - (5) lặp đi lặp lại để xác định những thay đổi trong rủi ro hoặc trong chiến lược của tổ chức, mục tiêu kinh doanh, đảm bảo cải tiến liên tục
1. Xác định các yêu cầu an toàn thông tin Trong chiến lược kinh doanh và mục tiêu chung của tổ chức, quy mô hoạt động, không gian địa lý, các yêu cầu an toàn thông tin có thể được xác định thông qua: a) tài sản thông tin xác định và giá trị của chúng; b) nhu cầu kinh doanh/công việc để xử lý thông tin, lưu trữ và truyền thông; c) yêu cầu pháp lý, quy định và hợp đồng. Việc thực hiện phương pháp đánh giá rủi ro gắn với tài sản thông tin của một tổ chức liên quan đến thực hiện phân tích: - các mối đe dọa đến tài sản thông tin, - các điểm yếu và - khả năng xảy ra mối đe dọa cụ thể tới các tài sản thông tin, - tác động tiềm năng của bất kỳ sự cố an toàn thông tin nào về tài sản thông tin. Chi phí cho các biện pháp kiểm soát liên quan dự kiến sẽ tương ứng với tác động kinh doanh được nhận thức của rủi ro hiện hữu..
2. Đánh giá các rủi ro an toàn thông tin Quản lý RR ATTT đòi hỏi phải đánh giá nguy cơ và có phương pháp xử lý RR thích hợp, có thể bao gồm một dự toán chi phí và lợi ích, các yêu cầu pháp lý, mối quan tâm của các bên liên quan, các đầu vào và các biến thích hợp khác. Đánh giá RR cần xác định, định lượng và đặt mức ưu tiên cho các rủi ro theo các tiêu chí chấp nhận RR và các mục tiêu có liên quan đến tổ chức. Kết quả sẽ hướng dẫn và xác định hành động quản lý phù hợp và mức ưu tiên cho việc quản lý RR ATTT và thực thi biện pháp kiểm soát đã lựa chọn để bảo vệ chống lại những RR. Đánh giá RR phải bao gồm các phương pháp tiếp cận có hệ thống, ước tính mức độ rủi ro (phân tích RR) và quy trình so sánh RR ước tính theo các tiêu chí RR để xác định tầm quan trọng của RR (đánh giá RR). Đánh giá RR phải được thực hiện định kỳ để giải quyết vấn đề thay đổi trong các yêu cầu ATTT và trong tình huống RR, ví dụ như trong các tài sản, các mối đe dọa, các điểm yếu, tác động, ước lượng RR và khi xảy ra những thay đổi đáng kể. Việc đánh giá RR cần được thực hiện một cách có phương pháp, có khả năng cho ra kết quả so sánh và tái tạo được kết quả. Đánh giá RR ATTT nên có một phạm vi xác định rõ ràng để có hiệu quả và nên bao gồm các mối quan hệ với đánh giá RR trong các lĩnh vực khác, nếu thích hợp.
Trước khi xem xét xử lý RR, tổ chức nên quyết định tiêu chí chấp nhận RR. RR có thể được chấp nhận nếu nó được đánh giá là nguy cơ thấp hoặc chi phí xử lý không hiệu quả. Quyết định này nên được ghi lại. Đối với mỗi RR được xác định sau khi đánh giá RR, cần phải đưa ra một quyết định xử lý RR. Tùy chọn có thể cho xử lý rủi ro bao gồm: a) áp dụng các biện pháp kiểm soát thích hợp để giảm thiểu RR; b) chấp nhận RR có chủ ý và khách quan, nếu chúng đáp ứng rõ ràng chính sách và tiêu chí của tổ chức đặt ra về chấp nhận RR; c) tránh RR bằng cách không cho phép những hành động có thể gây ra RR xảy ra; d) chia sẻ các RR liên quan đến các bên khác, ví dụ như công ty bảo hiểm hoặc các nhà cung cấp. Đối với những RR mà các quyết định xử lý RR đã chỉ định việc áp dụng các biện pháp kiểm soát thích hợp, nên lựa chọn và thực hiện các biện pháp kiểm soát này. 3. Xử lý các rủi ro an toàn thông tin
Các biện pháp kiểm soát phải đảm bảo rằng RR được giảm đến một mức chấp nhận được có xem xét đến: a) yêu cầu và hạn chế của pháp luật và quy định của quốc gia và quốc tế; b) các mục tiêu tổ chức; c) các yêu cầu và hạn chế trong hoạt động; d) chi phí thực hiện và hoạt động liên quan đến rủi ro được giảm và còn lại tỷ lệ thuận với các yêu cầu và hạn chế của tổ chức; e) nên thực hiện giám sát, đánh giá và nâng cao hiệu quả và hiệu lực của các biện pháp kiểm soát an toàn thông tin nhằm hỗ trợ mục tiêu của tổ chức. Việc lựa chọn và thực hiện biện pháp kiểm soát nên được ghi chép trong một tuyên bố áp dụng nhằm hỗ trợ các yêu cầu tuân thủ. f) sự cần thiết để cân bằng đầu tư trong việc thực hiện và vận hành các biện pháp kiểm soát với sự mất mát có thể là kết quả của sự cố ATTT. 4. Chọn lựa và triển khai các biện pháp kiểm soát
Một tổ chức cần duy trì và cải thiện hệ thống ISMS thông qua giám sát và đánh giá năng lực về các chính sách và mục tiêu của tổ chức và báo cáo kết quả với nhà quản lý để xem xét. Việc soát xét ISMS này sẽ kiểm tra xem hệ thống ISMS có bao gồm các biện pháp kiểm soát đặc thù thích hợp để xử lý rủi ro trong phạm vi hệ thống ISMS hay không. Ngoài ra, dựa trên các bản ghi về khu vực giám sát, sẽ có bằng chứng thẩm tra và theo vết các hành động khắc phục, phòng ngừa và cải thiện. 5. Giám sát, duy trì và cải thiện hiệu quả của ISMS
Mục đích của việc cải tiến liên tục một ISMS là để tăng khả năng đạt được các mục tiêu liên quan tới duy trì tính bảo mật, tính sẵn sàng và tính toàn vẹn của thông tin. Trọng tâm của việc CTLT là tìm kiếm cơ hội để cải tiến và không giả định rằng các hoạt động quản lý hiện tại là đủ tốt hoặc tốt như hệ thống có thể. Các hành động cải tiến bao gồm: a) phân tích và đánh giá các tình huống hiện tại để xác định các vùng cần cải tiến; b) thiết lập các mục tiêu cải tiến; c) tìm kiếm các giải pháp có thể để đạt được các mục tiêu; d) đánh giá các giải pháp hiện tại và thực hiện một lựa chọn; e) triển khai các giải pháp được lựa chọn; f) đo lường, xác minh, phân tích và đánh giá các kết quả triển khai để xác định rằng các mục tiêu đã được đáp ứng; g) chính thức hóa các thay đổi; Kết quả được soát xét là cần thiết để xác định các cơ hội để cải tiến. Bằng cách này, cải tiến là một hoạt động liên tục, các hành động được lặp lại thường xuyên. Phản hồi từ khách hàng và các bên quan tâm, đánh giá và soát xét hệ thống quản lý ATTT cũng có thể được sử dụng để xác định các cơ hội cải tiến. 6. Cải tiến liên tục (CTLT)
QUẢN LÝ RỦI RO THEO ISO/IEC 27001 Đảm bảo tính kinh doanh liên tục và tuân thủ chế định và pháp định Mục tiêu kiểm soát rủi ro – Phương pháp đánh giá rủi ro Tài sản Thông tin Phần mềm Hình ảnh uy tín Đối tác Khách hàng Thầu phụ Các h.động sản xuất Dịch vụ Vật lý Con người Tiêu chí chấp nhận rủi ro Những điểm yếu Mức rủi ro (H,M,L) Mối đe dọa Mất tính bảo mật, tính toàn vẹn, tính sẵn sàng Nhận biết các mức độ bảo mật, giá trị của tất cả các tài sản Kiếm soát xử lý rủi ro Các hành động cải tiến giảm rủi ro Đo lường, đánh giá tính hiệu lực của các phương pháp kiểm soát Phòng ngừa, giảm thiểu, chuyển giao, chấp nhận rủi ro
Quy trình quản lý Rủi ro ATTT Thiết lập bối cảnh Truyền thông và tham vấn Giám sát và xem xét Nhận diện rủi ro Phân tích RR Xử lý rủi ro Định lượng RR Đánh giá rủi ro
Quản lý Rủi ro (Risk Management) gồm 2 Quá trình: – Đánh giá Rủi ro (Risk Assessment); – Xử lý Rủi ro (Risk Treatment). Quản lý Rủi ro cần xem xét: – các Chi phí/Lợi ích; – các yêu cầu pháp lý; – các yêu cầu của các bên liên quan Quản lý Rủi ro
Quản lý Rủi ro ATTT Thiết lập bối cảnh: • Xem xét các vấn đề liên quan • Lập kế hoạch hành động để giải quyết RR/cơ hội • Xác định phương pháp quản lý RR • Xây dựng quá trình đánh giá RR: 1. Thiết lập Tiêu chí chấp nhận RR (Criteria for Risk Acceptance) 2. Thiết lập tiêu chí để đánh giá RR
Đánh giá Rủi ro ATTT • Bước 1: Nhận diện RR: nhận diện các Mối nguy (Identify Hazards) • Bước 2: Phân tích Rủi ro (Analyse Risks): 1. Khả năng xảy ra (Likelihood) Hậu quả (Consequence); 2. Mức độ nghiêm trọng (Severity) của Hậu quả; 3. Phân cấp Rủi ro (Level of Risk) • Bước 3: Đánh giá So sánh (Evaluate) Rủi ro với Tiêu chí chấp nhận Rủi ro (Criteria for Risk Acceptance) đã được thiết lập.
Đánh giá Rủi ro ATTT - Tần suất xuất hiện (Likelihood) Mức độ RR = kết hợp - Mức nghiêm trọng của Hậu quả (Severity of Consequence) Xác định Cấp Rủi ro ATTT để làm gì? - Liệt kê - Phân loại, xếp ưu tiên - So sánh với tiêu chí chấp nhận RR - Chọn Xử lý những RR mức cao;
Xử lý Rủi ro ATTT • Tổ chức phải quyết định Tiêu chí Chấp nhận Rủi ro (Acceptable Risk Criteria) trước khi cân nhắc Xử lý RR. • Với mỗi Rủi ro, có 4 lựa chọn để xử lý: a) Tránh để không xảy ra RR; b) Áp dụng Kiểm soát để Giảm thiểu RR; c) Chia sẻ RR (Bảo hiểm/thuê ngoài) d) Chấp nhận RR, ; • Việc lựa chọn các phương án cần cân nhắc Chi phí/Lợi ích.
Xử lý Rủi ro ATTT RISK ASSESSMENT RESULTS SATISFACTORY ASSESSMENT RISK TREATMENT OPTIONS RISK MODIFICATION RISK RETENTION RISK AVOIDANCE RISK SHARING RESIDUAL RISKS SATISFACTORY TREATMENT Risk decision point 1 Risk Treatment Risk decision point 2 ISO/IEC 27005:2011
Rủi ro an toàn thông tin
Hệ thống quản lý ATTT Quản lý rủi ro Quản lý An toàn thông tin Công nghệ thông tin An ninh mạng Kinh doanh liên tục
NỘI DUNG TRÌNH BÀY [1] [3] Tiêu chuẩn ISO/IEC 27001:2013 [2] Khái niệm và nguyên tắc ISMS [4] Các bước thực hiện Hệ thống [5] Hỏi và Đáp An toàn thông tin
ISO là gì? International Organization for Standardization “Tổ chức Tiêu chuẩn hoá Quốc tế” http://iso.org
⦿ Tổ chức phi chính phủ, thành lập 1946, ⦿ Trụ sở tại Giơ-ne-vơ, Thụy Sĩ; ⦿ Là cơ quan xây dựng các tiêu chuẩn quốc tế, cung cấp những tiêu chuẩn hiện đại cho tất cả các tổ chức. ⦿ ISO không chứng nhận đạt tiêu chuẩn ⦿ Các tài liệu ISO là có bản quyền và tính phí ⦿ Việt Nam là thành viên từ 1977 ISO là gì?
⦿ Đảm bảo An toàn, Tin cậy, Chất lượng; ⦿ Là công cụ chiến lược, giúp giảm chi phí, giảm sản phẩm lỗi, giảm sai sót và tăng năng suất; ⦿ Nâng cao uy tín, năng lực cạnh tranh của tổ chức; ⦿ Thúc đẩy thương mại toàn cầu Công bằng và Tự do. Lợi ích áp dụng Tiêu chuẩn ISO
⦿ ISO 9000 - Quản lý Chất lượng ⦿ ISO 14000 - Quản lý Môi trường ⦿ ISO 20000 - Quản lý Dịch vụ Thông tin ⦿ ISO/IEC 27000 - Quản lý An toàn thông tin ⦿ ISO 31000 - Quản lý Rủi ro ⦿ ISO 45000 - An toàn Sức khoẻ Nghề nghiệp Các tiêu chuẩn ISO phổ biến
Thông qua sử dụng họ tiêu chuẩn ISMS, các tổ chức có thể xây dựng và triển khai một bộ khung cho việc quản lý an toàn các tài sản thông tin của họ, bao gồm các thông tin tài chính, sở hữu trí tuệ, chi tiết về nhân sự, hoặc các thông tin đã được các khách hàng hay bên thứ ba cung cấp. Họ Tiêu chuẩn ISO/IEC 27000-ISMS Là họ tiêu chuẩn về Hệ thống quản lý an toàn thông tin - ISMS Mục đích: • Giúp các tổ chức: Xây dựng và triển khai một bộ khung (framework) cho quản lý an toàn các tài sản thông tin • Giúp đánh giá Hệ thống Quản lý An toàn thông tin - ISMS của các tổ chức
Cấu trúc Bộ Tiêu chuẩn ISMS 27000 Tổng quan-Từ vựng 27001 Các yêu cầu 27006 Đánh giá - Chứng nhận 27002 Quy tắc thực hành 27003 Áp dụng 27004 Đo lường 27005 Quản lý rủi ro 27007 Kiểm soát 27008 Đánh giá Kiểm soát 27013 Tích hợp thực hiện 27014 Quản trị IS 27016 Kinh tế tổ chức 27010 inter 27011 HD cho 27002 27015 DV Tài chính 27017 2703x 2704x 2703x 2704x Chuẩn Từ vựng Chuẩn Yêu cầu Chuẩn Hướng dẫn Chuẩn HD theo ngành Chuẩn HD theo kiểm soát
Tiêu chuẩn ISO/IEC 27001:2013 • Là các yêu cầu cần tuân thủ trong việc xây dựng, triển khai thực hiện, đảm bảo duy trì và cải tiến liên tục một hệ thống an toàn thông tin của một tổ chức • Là căn cứ để đánh giá chứng nhận đạt chuẩn
Tiêu chuẩn ISO/IEC 27001:2013
Lịch sử phát triển 67 ISO/IEC 27001:2005 ISO 17799: 2000 BS 7799 -1 1995 2000 1999 2002 2005 2013 ISO/IEC 27001:2013 ISO/IEC 27002:2005 BS 7799 -2:2002 BS 7799 -1:1999 BS 7799 -2:1999
Tiêu chuẩn ISO/IEC 27001:2013 Phụ lục Quy chuẩn 14 nội dung 35 mục tiêu 114 kiểm soát ISO/IEC 27001:2013 Các yêu cầu Các điều khoản 4-10
Cấu trúc các điều khoản chính 4. Bối cảnh của tổ chức (Vấn đề bên trong bên ngoài, Yêu cầu của bên q/tâm, Xác định phạm vi ISMS) 7. Hỗ trợ Các Nguồn lực, Năng lực, Nhận thức, Trao đổi Thông tin, Th.tin Văn bản hóa 9. Đánh giá thực hiện Theo dõi, Đo lường, Phân tích, Đánh giá Đánh giá nội bộ, Xem xét của lãnh đạo 5. Vai trò Lãnh đạo Lãnh đạo, Cam kết, Ch.sách, T.nhiệm, Quyền hạn 6. Hoạch định Quản lý rủi ro; Mục tiêu ATTT & Kế hoạch 8. Vận hành Kế hoạch vận hành và k.soát; Đánh giá, Xử lý RR 10. Cải tiến Sự không PH & Hành động KP; Cải tiến liên tục
Các điều khoản ISO/IEC 27001:2013 4. Bối cảnh của Tổ chức 4.1. Hiểu về tổ chức bối cảnh 4.2. Hiểu về nhu cầu và kỳ vọng của các bên liên quan 4.3. Xác định phạm vi của ISMS 4.4. ISMS 5. Sự lãnh đạo 5.1. Cam kết của lãnh đạo 5.2 Chính sách ATTT 5.3. Vai trò, quyền hạn và trách nhiệm của tổ chức 6. Hoạch định 6.1. Hành độn xử lý rủi ro và các cơ hội 6.2. Mục tiêu và kế hoạch về ATTT 7. Hỗ trợ 7.1. Cung cấp nguồn lực 7.2. Năng lực 7.3. Nhận thức 7.4. Trao đổi thông tin 7.5. Yêu cầu về tài liệu 8. Vận hành 8.1. Lập kế hoạch điều hành và kiểm soát 8.2. Đánh giá rủi ro ATTT 8.3. Xử lý rủi ro về ATTT 9. Đánh giá kết quả 9.1. Giám sát, đo lường, phân tích và đánh giá 9.2. Đánh giá nội bộ 9.3. Xem xét lãnh đạo 10. Cải tiến 10.1 Sự KPH và Hành động khắc phục 10.2. Cải tiến liên tục
Phụ lục Tiêu chuẩn ISO/IEC 27001:2013 A.5 Chính sách ATTT A.12 An toàn Vận hành A.7 An toàn nguồn nhân lực A.8 Quản lý tài sản A.9 Kiểm soát truy cập A.11 An toàn vật lý và môi trường A.15 Quan hệ với nhà cung cấp A.14 Tiếp nhận, phát triển và duy trì hệ thống A.13 An toàn Trao đổi Thông tin A.10 Mã hóa A.6 Tổ chức ATTT A.17 ATTT trong quản lý hoạt động liên tục A.18 Sự phù hợp A.16 Quản lý sự cố ATTT ISMS Kiểm soát 1 3 5 9 7 8 2 6 4 10 11 14 12 13
NỘI DUNG TRÌNH BÀY [1] [3] Tiêu chuẩn ISO/IEC 27001:2013 [2] Khái niệm và nguyên tắc ISMS [4] Các bước triển khai ISMS [5] Hỏi và Đáp An toàn thông tin
1. Khởi động, Cam kết Triển khai QMS/ISMS; 2. Xác định các Yêu cầu Luật định, Chế định, Hợp đồng liên quan QMS/ISMS; 3. Xác định Phạm vi, Ranh giới QMS/ISMS; CÁC BƯỚC TRIỂN KHAI ISO 27001 Hệ thống Quản lý Chất lượng, ANTT (QMS, ISMS) phù hợp Yêu cầu tiêu chuẩn ISO 9001:2015, ISO/IEC 27001:2013 4. Xác định Hệ thống QMS/ISMS bao gồm các Quá trình; 5. Xác định Tài sản TT và Giá trị Tài sản; 6. Nhận biết Rủi ro, Phân tích Rủi ro, Đánh giá so sánh Rủi ro, Lựa chọn Phương án Xử lý Rủi ro/Kiểm soát Rủi ro; 7. Thiết lập các Chính sách, Mục tiêu Chất lượng/ANTT;
8. Xây dựng, Ban hành hệ thống Tài liệu, theo Yêu cầu của ISO 9001/27001 và Tổ chức (CS, MT, SoA, Kế hoạch Xử lý Rủi ro, Qui định, Qui trình/Biểu mẫu); 9. Vận hành QMS/ISMS, Ghi Hồ sơ; 10. Theo dõi, Soát xét, Duy trì, Cải tiến QMS/ISMS. Hệ thống Quản lý Chất lượng, ANTT (QMS, ISMS) phù hợp Yêu cầu tiêu chuẩn ISO 9001:2015, ISO/IEC 27001:2013 11. Đánh giá Nội bộ (Internal Audit); 12. Họp Xem xét của Lãnh đạo; 13. Khắc phục điểm Không Phù hợp (KPH); 14. Đào tạo Đánh giá viên Nội bộ; 15. Ban hành Chứng chỉ Đánh giá viên Nội bộ; CÁC BƯỚC TRIỂN KHAI ISO 9001, 27001
Hệ thống Quản lý Chất lượng, ANTT (QMS, ISMS) phù hợp Yêu cầu tiêu chuẩn ISO 9001:2015, ISO/IEC 27001:2013 16. Đánh giá Nội bộ lần 2; 17. Họp xem xét của Lãnh đạo; 18. Khắc phục điểm Không phù hợp; 19. Đánh giá Chứng nhận thử (Pre Audit); 20. Khắc phục điểm Không phù hợp; 21. Đánh giá Chứng nhận (Main Audit); 22. Khắc phục điểm Không phù hợp; 23. Nộp Hồ sơ, Nhận Chứng chỉ; 24. Đánh giá Giám sát (Surveillance Audit); 25. Đánh giá Chứng nhận lại (Re-Certification Audit). CÁC BƯỚC TRIỂN KHAI ISO 27001
Tham khảo: CÁC BƯỚC THỰC HIỆN ISO 27001 I. GIAI ĐOẠN 1: THIẾT KẾ HỆ THỐNG VÀ CHUẨN BỊ NGUỒN LỰC 1. Lập kế hoạch xây dựng hệ thống quản lý ATTT ( tư vấn thành lập, hướng dẫn hoạt động) 2. Khảo sát, đánh giá tình hình thực trạng so với yêu cầu của tiêu chuẩn ISO/IEC 27001:2013 2.1 Khảo sát đánh giá thực trạng 2.2 Lập báo cáo đánh giá thực trạng 2.3 Thiết kế, xây dựng Hệ thống quản lý ATTT 3. Đào tạo nhận thức về ISO/IEC 27001:2013 4. Đào tạo cách thức viết văn bản và cách thức kiểm soát tài liệu - Quyết định thành lập Ban chỉ đạo ATTT; - Báo cáo khảo sát - Dự thảo Hệ thống văn bản quản lý ATTT - Buổi đào tạo: Các cán bộ nắm bắt được các yêu cầu tiêu chuẩn ISO/IEC 27001:2013 và việc tích hợp với các quy định của Pháp luật và các văn bản quy định về an toàn bảo mật thông tin, cách thức kiểm soát tài liệu và xây dựng văn bản II. GIAI ĐOẠN 2: XÂY DỰNG HỆ THỐNG QUẢN LÝ ATTT 1. Xây dựng hệ thống văn bản quản lý ATTT. 2. Xây dựng Chính sách ATTT, mục tiêu, chỉ tiêu ATTT Xây dựng tài liệu quản lý tài sản và đánh giá rủi ro theo hệ thống ATTT yêu cầu 3. Xây dựng kế hoạch hành động thực hiện mục tiêu ATTT 4. Xây dựng các thủ tục quy trình, kế hoạch kiểm soát ATTT, các hướng dẫn và biểu mẫu của các phụ lục 5. Lập sổ tay ATTT và SoA - Các thủ tục quy trình và hướng dẫn quản lý ATTT; - Các bộ phận liên quan tham gia xây dựng hiểu được cách xây dựng/ cách thức thực hiện quy trình, kế hoạch ATTT; hướng dẫn/ cách thức cập nhật biểu mẫu. - Các thủ tục ATTT sẽ được tư vấn hướng dẫn và xây dựng bao gồm: Các tài liệu được tư vấn tiến hành và báo cáo trong báo cáo khảo sát và phải đảm bảo đáp ứng được các yêu cầu tiêu chuẩn ISO/IEC 27001:2013; - Đối với quy định vận hành theo các yêu cầu pháp luật và yêu cầu của hợp đồng bên tư vấn sẽ triển khai đánh giá mức độ phù hợp của các yêu cầu văn bản luật cũng như các yêu khác - Ban hành và phân phối các tài liệu.
CÁC BƯỚC THỰC HIỆN ISO 27001 III. GIAI ĐOẠN 3: TRIỂN KHAI THỰC HIỆN 1. Hướng dẫn áp dụng thử, chỉnh sửa và chính thức ban hành tài liệu 2. Hướng dẫn triển khai khi áp dụng, theo dõi, giám sát hoạt động hệ thống quản lý ATTT 3. Đào tạo chuyên gia đánh giá nội bộ - Triển khai thức hiện hệ thống quản lý ATTT; - Ban chỉ đạo nắm được cách thức chỉ đạo, đôn đốc và kiểm tra việc thực hiện của các bộ phận; - Các bộ phận tuân thủ việc thực hiện, các hồ sơ được lập đầy đủ. - Việc thực hiện và cập nhật hồ sơ nhằm kiểm soát được các yêu cầu về ATTT theo tiêu chuẩn ISO/IEC 27001:2013, Luật CNTT, Luật ATTT và các quy định an toàn bảo mật thông tin như quy định tại mục 3.1 và 3.2 danh mục các yêu cầu luật định và quy định khác nhằm đảm bảo mức độ thực hiện một cách thuận lợi IV. GIAI ĐOẠN 4: TỔ CHỨC ĐÁNH GIÁ VÀ HOÀN THIỆN HỆ THỐNG 1. Đánh giá chất lượng nội bộ, lập báo cáo đánh giá nội bộ 2. Họp xem xét của lãnh đạo 3. Hướng dẫn khắc phục các điểm không phù hợp - Thông báo đánh giá và chương trình đánh giá cụ thể cho từng phòng ban bộ phận, từng thời điểm; - Kết quả đánh giá sẽ được lập báo cáo đánh giá nội bộ xác định các điểm không phù hợp cần khắc phục và cải tiến theo yêu cầu ISO/IEC 27001:2013. - Khắc phục triệt để các điểm không phù hợp được phát hiện - Họp xem xét của lãnh đạo V. GIAI ĐOẠN 5: CHỨNG NHẬN HỆ THỐNG 1. Đăng ký chứng nhận 2. Rà soát lại các tài liệu hồ sơ của hệ thống quản lý ATTT 3. Đánh giá thử hệ thống quản lý ATTT 4. Hướng dẫn khắc phục các điểm sau đánh giá thử (nếu có) 5. Đánh giá chứng nhận Hệ thống quản lý ATTT cho 6. Hướng dẫn khắc phục các điểm sau đánh giá chứng nhận (nếu có) 7. Hướng dẫn các thủ tục, phạm vi công việc liên quan khác (theo kế hoạch chi tiết của Đơn vị tư vấn) được Tổ chức chứng nhận cấp chứng chỉ ISO/IEC 27001:2013 8. Hỗ trợ về các thủ tục, giấy tờ liên quan trong quá trình tư vấn, chứng nhận để nghiệm thu - Các hồ sơ làm việc với TCCN được phê duyệt; - Thống nhất kế hoạch đánh giá tại các giai đoạn. - Báo cáo đánh giá của Tổ chức chứng nhận (TCCN); - Khắc phục triệt để các điểm không phù hợp được phát hiện - Hoàn tất hồ sơ khắc phục và chuyển cho Tổ chức chứng nhận. - Tổ chức chứng nhận cấp Chứng chỉ ISO/ IEC 27001:2013
CHỨNG CHỈ ISO • Không phải là giấy chứng nhận cho sản phẩm/dịch vụ; • Có giá trị trong 03 năm; • Định kỳ sẽ có giám sát; • Sẽ bị thu hồi chứng chỉ nếu không duy trì.
HỆ THỐNG ĐÁNH GIÁ SỰ PHÙ HỢP Cơ quan Công nhận UKAS (RAB, RVA, VICAS) Công nhận Tổ chức Chứng nhận D.A.S, QUACERT, VRQC… Chứng nhận Tổ chức/Công ty ISO 17021:2011 ISO 9001:2015, ISO/IEC 27001:2013, … ISO 17021:2011
KHÓ KHĂN KHI THỰC HIỆN Một số khó khăn điển hình tại một số tổ chức khi áp dụng thực hiện các Hệ thống Quản lý theo ISO: • Tổ chức chưa thấy hết vai trò quan trọng của hệ thống quản lý ISO và sự cần thiết áp dụng • Tâm lý không thích thay đổi. • Thiếu nhiệt tình, năng lực của cán bộ quản lý cấp trung gian; • Phối hợp giữa các bộ phận - kém; • Cách thức làm việc - Cũ; • Hạn chế về nguồn lực; • Xây dựng tài liệu không phù hợp; • Thiếu sự tham gia của Ban Lãnh đạo;
Phụ thuộc vào: • Cam kết và hành động của lãnh đạo • Mức độ phức tạp của doanh nghiệp • Tình hình thực trạng của tổ chức • Năng lực cán bộ của tổ chức Hiện nay từ 05 - 08 tháng THỜI GIAN THỰC HIỆN
⦿ Global Data Service - GDS (VNPT) - NTT Communications (NTTCom) ⦿ Công viên Pha«n me«m Quang Trung ( QTSC); Datacenter Thư ̀ a thiên hue- …. ⦿ Công ty cō pha«n công nghệ Tinh Vân ; Datacenter Quảng Ninh, Datacenter Cà mau … ⦿ NCS Solutions ; RCS; EVN ICT; EVN Ho« Chı́ minh; Digi-texx - Việt nam; EVN EIC; EVN Bı̀nh phươ ́ c; ISB Vietnam; Công ty Minh Phúc (MP); TDT Software …. ⦿ Sơ ̉ Khoa Học Công Nghệ Đo«ng Nai , Sơ ̉ ke- hoạch đa«u tư Đo«ng Nai …. ⦿ VNEXT; Ominext; NTQ Solution; HDD Vietnam ; Orient; Evolable; GEM; ISOSH; Datacenter Baµc Ninh; Codelover; GDS; MTI; GEM Sofware; Livesup Sofwar; ReliaVietnam; Relia; Relipa; MTI Soft; Base.vn; ZALOPAY; MOR Sofware; VINICORP …. ⦿ Tập đoàn NTT ( Nhật bản) ; Luvina Sofware; Rikkei soft; Framgia; MTI Soft; Orient Soft; ⦿ Trung tâm Internet Việt nam ( VNNIC) – Bộ TTTT; Trung tâm VNCERT – Bộ TTTT; Trung tâm CNTT – BHXH Việt nam; Cục bưu điện Trung ương …. ⦿ EVN Mie«n Baµc, EVNICT; EVNEIC; Mua bán điện, Misa, Runsystem; GENCO3…. ⦿ CMC, IMT Software, VKX-VNPT, Vinahost, VNCERT; Truye«n thông 5 sao, ELCOM; VINASAT; VNPT-I, NISSHO; Sơ ̉ TTTT Hue-, FSI; EVNICT; Nhiệt điện Ca«n thơ, Nhiệt điện thái bı̀nh; Thủy điện Sơn la; Quảng trị; Trung Sơn; Ankhe – Kanak; Thủy điện Sông Bung; Tōng công ty EVN Genco1,2,3; A0, A1,2,3; Thủy điện Hòa bı̀nh; thủy điện Tuyên quang…. Khách hàng tiêu biểu
QUẢN LÝ AN TOÀN THÔNG TIN LÀ VIỆC LÀM CỦA TẤT CẢ MỌI NGƯỜI !
NỘI DUNG TRÌNH BÀY [1] [3] Tiêu chuẩn ISO/IEC 27001:2013 [2] Khái niệm và nguyên tắc ISMS [4] Các bước triển khai ISMS [5] Hỏi và đáp An toàn thông tin
Một số quy định pháp luật • Nghị định 102/2009/NĐ-CP - về quản lý đầu tư ứng dụng CNTT sử dụng nguồn vốn ngân sách nhà nước • Nghị định Số: 72/2013/NĐ-CP-Quản lý, cung cấp, sử dụng dịch vụ internet và thông tin trên mạng • Nghị định 85/2016/NĐ-CP về bảo đảm an toàn hệ thống thông tin theo cấp độ • Thông tư 03/2017/TT-BTTTT quy định chi tiết và hướng dẫn một số điều của Nghị định 85/2016/NĐ-CP ngày 01/7/2016 của Chính phủ về bảo đảm an toàn hệ thống thông tin theo cấp độ • Quyết định 05/2017/QĐ-TTg - Ban hành quy định về hệ thống phương án ứng cứu khẩn cấp bảo đảm an toàn thông tin mạng quốc gia

Recommended

GT AT BMTT .docx
GT AT BMTT .docxGT AT BMTT .docx
GT AT BMTT .docxNguyễn Giang
 
Luận văn: Nghiên cứu tiêu chuẩn ISO 27001 và ứng dụng, HAY
Luận văn: Nghiên cứu tiêu chuẩn ISO 27001 và ứng dụng, HAYLuận văn: Nghiên cứu tiêu chuẩn ISO 27001 và ứng dụng, HAY
Luận văn: Nghiên cứu tiêu chuẩn ISO 27001 và ứng dụng, HAYDịch vụ viết bài trọn gói ZALO 0917193864
 
C03 chuan iso vebao mat
C03 chuan iso vebao matC03 chuan iso vebao mat
C03 chuan iso vebao matdlmonline24h
 
2023_Chapter1 Information Security.pdf
2023_Chapter1 Information Security.pdf2023_Chapter1 Information Security.pdf
2023_Chapter1 Information Security.pdfThiHongTun
 
Iso 27001
Iso 27001Iso 27001
Iso 27001dlmonline24h
 
Bai giang duwa tren slide cua Ahmed Moussa
Bai giang duwa tren slide cua Ahmed MoussaBai giang duwa tren slide cua Ahmed Moussa
Bai giang duwa tren slide cua Ahmed MoussaAnh Dam
 
Bai giang-an-toan-va-bao-mat-he-thong-thong-tin-lxt
Bai giang-an-toan-va-bao-mat-he-thong-thong-tin-lxtBai giang-an-toan-va-bao-mat-he-thong-thong-tin-lxt
Bai giang-an-toan-va-bao-mat-he-thong-thong-tin-lxtstartover123
 
an toàn thông tin
an toàn thông tinan toàn thông tin
an toàn thông tinVũ Đức Cường
 

Recommended

GT AT BMTT .docx
GT AT BMTT .docxGT AT BMTT .docx
GT AT BMTT .docxNguyễn Giang
 
Luận văn: Nghiên cứu tiêu chuẩn ISO 27001 và ứng dụng, HAY
Luận văn: Nghiên cứu tiêu chuẩn ISO 27001 và ứng dụng, HAYLuận văn: Nghiên cứu tiêu chuẩn ISO 27001 và ứng dụng, HAY
Luận văn: Nghiên cứu tiêu chuẩn ISO 27001 và ứng dụng, HAYDịch vụ viết bài trọn gói ZALO 0917193864
 
C03 chuan iso vebao mat
C03 chuan iso vebao matC03 chuan iso vebao mat
C03 chuan iso vebao matdlmonline24h
 
2023_Chapter1 Information Security.pdf
2023_Chapter1 Information Security.pdf2023_Chapter1 Information Security.pdf
2023_Chapter1 Information Security.pdfThiHongTun
 
Iso 27001
Iso 27001Iso 27001
Iso 27001dlmonline24h
 
Bai giang duwa tren slide cua Ahmed Moussa
Bai giang duwa tren slide cua Ahmed MoussaBai giang duwa tren slide cua Ahmed Moussa
Bai giang duwa tren slide cua Ahmed MoussaAnh Dam
 
Bai giang-an-toan-va-bao-mat-he-thong-thong-tin-lxt
Bai giang-an-toan-va-bao-mat-he-thong-thong-tin-lxtBai giang-an-toan-va-bao-mat-he-thong-thong-tin-lxt
Bai giang-an-toan-va-bao-mat-he-thong-thong-tin-lxtstartover123
 
an toàn thông tin
an toàn thông tinan toàn thông tin
an toàn thông tinVũ Đức Cường
 
Chương 1. Tổng quan về an toàn bảo mật hệ thống thông tin.pptx
Chương 1. Tổng quan về an toàn bảo mật hệ thống thông tin.pptxChương 1. Tổng quan về an toàn bảo mật hệ thống thông tin.pptx
Chương 1. Tổng quan về an toàn bảo mật hệ thống thông tin.pptxssuserbc08fb
 
CSATTT2016.AT10.Bai 1 TQATTT.pptx
CSATTT2016.AT10.Bai 1 TQATTT.pptxCSATTT2016.AT10.Bai 1 TQATTT.pptx
CSATTT2016.AT10.Bai 1 TQATTT.pptxssuserbc08fb
 
Security qn9-2013
Security qn9-2013Security qn9-2013
Security qn9-2013Thai Ta Quang
 
An toanthongtin end
An toanthongtin endAn toanthongtin end
An toanthongtin endLê Thị Minh Châu
 
Gioi thieu an toan thong tin
Gioi thieu an toan thong tinGioi thieu an toan thong tin
Gioi thieu an toan thong tinneoictu
 
Giao trinh an_toan_va_bao_mat_thong_tin_dh_bach_khoa_hn
Giao trinh an_toan_va_bao_mat_thong_tin_dh_bach_khoa_hnGiao trinh an_toan_va_bao_mat_thong_tin_dh_bach_khoa_hn
Giao trinh an_toan_va_bao_mat_thong_tin_dh_bach_khoa_hnHuynh MVT
 
95737582-Bai-Giang-an-Toan-Va-Bao-Mat-He-Thong-Thong-Tin-7765.pdf
95737582-Bai-Giang-an-Toan-Va-Bao-Mat-He-Thong-Thong-Tin-7765.pdf95737582-Bai-Giang-an-Toan-Va-Bao-Mat-He-Thong-Thong-Tin-7765.pdf
95737582-Bai-Giang-an-Toan-Va-Bao-Mat-He-Thong-Thong-Tin-7765.pdfHuyTrng87
 
Bài giảng bảo mật hệ thống thông tin
Bài giảng bảo mật hệ thống thông tinBài giảng bảo mật hệ thống thông tin
Bài giảng bảo mật hệ thống thông tinTran Tien
 
Bao mat he thong thong tin
Bao mat he thong thong tinBao mat he thong thong tin
Bao mat he thong thong tinHuynh MVT
 
Bai giang-an-toan-va-bao-mat-he-thong-thong-tin-lxt-121219110644-phpapp02
Bai giang-an-toan-va-bao-mat-he-thong-thong-tin-lxt-121219110644-phpapp02Bai giang-an-toan-va-bao-mat-he-thong-thong-tin-lxt-121219110644-phpapp02
Bai giang-an-toan-va-bao-mat-he-thong-thong-tin-lxt-121219110644-phpapp02Anh Quoc
 
Giáo án an toàn và bảo mật thông tin.pdf
Giáo án an toàn và bảo mật thông tin.pdfGiáo án an toàn và bảo mật thông tin.pdf
Giáo án an toàn và bảo mật thông tin.pdfMan_Ebook
 
Bài 1: GIỚI THIỆU VỀ BẢO MẬT - Giáo trình FPT
Bài 1: GIỚI THIỆU VỀ BẢO MẬT - Giáo trình FPTBài 1: GIỚI THIỆU VỀ BẢO MẬT - Giáo trình FPT
Bài 1: GIỚI THIỆU VỀ BẢO MẬT - Giáo trình FPTMasterCode.vn
 
Những vấn đề về an toàn thông tin và tội phạm tin học
Những vấn đề về an toàn thông tin và tội phạm tin họcNhững vấn đề về an toàn thông tin và tội phạm tin học
Những vấn đề về an toàn thông tin và tội phạm tin họcnataliej4
 
Basic Security Training day 1
Basic Security Training day 1Basic Security Training day 1
Basic Security Training day 1Tu Khiem
 
Giaoan Atbm
Giaoan AtbmGiaoan Atbm
Giaoan Atbmdong
 
Bài giảng Hệ thống thông tin quản lý
Bài giảng Hệ thống thông tin quản lýBài giảng Hệ thống thông tin quản lý
Bài giảng Hệ thống thông tin quản lýThạc sĩ Vũ Ngọc Hiếu
 
Slide báo cáo bài tập lớn-nhóm5.pptx
Slide báo cáo bài tập lớn-nhóm5.pptxSlide báo cáo bài tập lớn-nhóm5.pptx
Slide báo cáo bài tập lớn-nhóm5.pptxTrnHngPhc9
 
C01 tongquan
C01 tongquanC01 tongquan
C01 tongquandlmonline24h
 
C1
C1C1
C1Giang Nguyễn
 
CƠ SỞ LÝ LUẬN VỀ VẤN ĐỀ AN TOÀN BẢO MẬT THÔNG TIN.docx
CƠ SỞ LÝ LUẬN VỀ VẤN ĐỀ AN TOÀN BẢO MẬT THÔNG TIN.docxCƠ SỞ LÝ LUẬN VỀ VẤN ĐỀ AN TOÀN BẢO MẬT THÔNG TIN.docx
CƠ SỞ LÝ LUẬN VỀ VẤN ĐỀ AN TOÀN BẢO MẬT THÔNG TIN.docxDịch vụ viết thuê đề tài trọn gói 👉👉 Liên hệ ZALO/TELE: 0917.193.864 ❤❤
 

More Related Content

Similar to BaiDaoTao Nhan Thuc_ISO/IEC 27001 va ISMS

Chương 1. Tổng quan về an toàn bảo mật hệ thống thông tin.pptx
Chương 1. Tổng quan về an toàn bảo mật hệ thống thông tin.pptxChương 1. Tổng quan về an toàn bảo mật hệ thống thông tin.pptx
Chương 1. Tổng quan về an toàn bảo mật hệ thống thông tin.pptxssuserbc08fb
 
CSATTT2016.AT10.Bai 1 TQATTT.pptx
CSATTT2016.AT10.Bai 1 TQATTT.pptxCSATTT2016.AT10.Bai 1 TQATTT.pptx
CSATTT2016.AT10.Bai 1 TQATTT.pptxssuserbc08fb
 
Gioi thieu an toan thong tin
Gioi thieu an toan thong tinGioi thieu an toan thong tin
Gioi thieu an toan thong tinneoictu
 
Giao trinh an_toan_va_bao_mat_thong_tin_dh_bach_khoa_hn
Giao trinh an_toan_va_bao_mat_thong_tin_dh_bach_khoa_hnGiao trinh an_toan_va_bao_mat_thong_tin_dh_bach_khoa_hn
Giao trinh an_toan_va_bao_mat_thong_tin_dh_bach_khoa_hnHuynh MVT
 
95737582-Bai-Giang-an-Toan-Va-Bao-Mat-He-Thong-Thong-Tin-7765.pdf
95737582-Bai-Giang-an-Toan-Va-Bao-Mat-He-Thong-Thong-Tin-7765.pdf95737582-Bai-Giang-an-Toan-Va-Bao-Mat-He-Thong-Thong-Tin-7765.pdf
95737582-Bai-Giang-an-Toan-Va-Bao-Mat-He-Thong-Thong-Tin-7765.pdfHuyTrng87
 
Bài giảng bảo mật hệ thống thông tin
Bài giảng bảo mật hệ thống thông tinBài giảng bảo mật hệ thống thông tin
Bài giảng bảo mật hệ thống thông tinTran Tien
 
Bao mat he thong thong tin
Bao mat he thong thong tinBao mat he thong thong tin
Bao mat he thong thong tinHuynh MVT
 
Bai giang-an-toan-va-bao-mat-he-thong-thong-tin-lxt-121219110644-phpapp02
Bai giang-an-toan-va-bao-mat-he-thong-thong-tin-lxt-121219110644-phpapp02Bai giang-an-toan-va-bao-mat-he-thong-thong-tin-lxt-121219110644-phpapp02
Bai giang-an-toan-va-bao-mat-he-thong-thong-tin-lxt-121219110644-phpapp02Anh Quoc
 
Giáo án an toàn và bảo mật thông tin.pdf
Giáo án an toàn và bảo mật thông tin.pdfGiáo án an toàn và bảo mật thông tin.pdf
Giáo án an toàn và bảo mật thông tin.pdfMan_Ebook
 
Bài 1: GIỚI THIỆU VỀ BẢO MẬT - Giáo trình FPT
Bài 1: GIỚI THIỆU VỀ BẢO MẬT - Giáo trình FPTBài 1: GIỚI THIỆU VỀ BẢO MẬT - Giáo trình FPT
Bài 1: GIỚI THIỆU VỀ BẢO MẬT - Giáo trình FPTMasterCode.vn
 
Những vấn đề về an toàn thông tin và tội phạm tin học
Những vấn đề về an toàn thông tin và tội phạm tin họcNhững vấn đề về an toàn thông tin và tội phạm tin học
Những vấn đề về an toàn thông tin và tội phạm tin họcnataliej4
 
Basic Security Training day 1
Basic Security Training day 1Basic Security Training day 1
Basic Security Training day 1Tu Khiem
 
Giaoan Atbm
Giaoan AtbmGiaoan Atbm
Giaoan Atbmdong
 
Slide báo cáo bài tập lớn-nhóm5.pptx
Slide báo cáo bài tập lớn-nhóm5.pptxSlide báo cáo bài tập lớn-nhóm5.pptx
Slide báo cáo bài tập lớn-nhóm5.pptxTrnHngPhc9
 

Similar to BaiDaoTao Nhan Thuc_ISO/IEC 27001 va ISMS (20)

Chương 1. Tổng quan về an toàn bảo mật hệ thống thông tin.pptx
Chương 1. Tổng quan về an toàn bảo mật hệ thống thông tin.pptxChương 1. Tổng quan về an toàn bảo mật hệ thống thông tin.pptx
Chương 1. Tổng quan về an toàn bảo mật hệ thống thông tin.pptx
 
CSATTT2016.AT10.Bai 1 TQATTT.pptx
CSATTT2016.AT10.Bai 1 TQATTT.pptxCSATTT2016.AT10.Bai 1 TQATTT.pptx
CSATTT2016.AT10.Bai 1 TQATTT.pptx
 
Security qn9-2013
Security qn9-2013Security qn9-2013
Security qn9-2013
 
An toanthongtin end
An toanthongtin endAn toanthongtin end
An toanthongtin end
 
Gioi thieu an toan thong tin
Gioi thieu an toan thong tinGioi thieu an toan thong tin
Gioi thieu an toan thong tin
 
Giao trinh an_toan_va_bao_mat_thong_tin_dh_bach_khoa_hn
Giao trinh an_toan_va_bao_mat_thong_tin_dh_bach_khoa_hnGiao trinh an_toan_va_bao_mat_thong_tin_dh_bach_khoa_hn
Giao trinh an_toan_va_bao_mat_thong_tin_dh_bach_khoa_hn
 
95737582-Bai-Giang-an-Toan-Va-Bao-Mat-He-Thong-Thong-Tin-7765.pdf
95737582-Bai-Giang-an-Toan-Va-Bao-Mat-He-Thong-Thong-Tin-7765.pdf95737582-Bai-Giang-an-Toan-Va-Bao-Mat-He-Thong-Thong-Tin-7765.pdf
95737582-Bai-Giang-an-Toan-Va-Bao-Mat-He-Thong-Thong-Tin-7765.pdf
 
Bài giảng bảo mật hệ thống thông tin
Bài giảng bảo mật hệ thống thông tinBài giảng bảo mật hệ thống thông tin
Bài giảng bảo mật hệ thống thông tin
 
Bao mat he thong thong tin
Bao mat he thong thong tinBao mat he thong thong tin
Bao mat he thong thong tin
 
Bai giang-an-toan-va-bao-mat-he-thong-thong-tin-lxt-121219110644-phpapp02
Bai giang-an-toan-va-bao-mat-he-thong-thong-tin-lxt-121219110644-phpapp02Bai giang-an-toan-va-bao-mat-he-thong-thong-tin-lxt-121219110644-phpapp02
Bai giang-an-toan-va-bao-mat-he-thong-thong-tin-lxt-121219110644-phpapp02
 
Giáo án an toàn và bảo mật thông tin.pdf
Giáo án an toàn và bảo mật thông tin.pdfGiáo án an toàn và bảo mật thông tin.pdf
Giáo án an toàn và bảo mật thông tin.pdf
 
Bài 1: GIỚI THIỆU VỀ BẢO MẬT - Giáo trình FPT
Bài 1: GIỚI THIỆU VỀ BẢO MẬT - Giáo trình FPTBài 1: GIỚI THIỆU VỀ BẢO MẬT - Giáo trình FPT
Bài 1: GIỚI THIỆU VỀ BẢO MẬT - Giáo trình FPT
 
Những vấn đề về an toàn thông tin và tội phạm tin học
Những vấn đề về an toàn thông tin và tội phạm tin họcNhững vấn đề về an toàn thông tin và tội phạm tin học
Những vấn đề về an toàn thông tin và tội phạm tin học
 
Basic Security Training day 1
Basic Security Training day 1Basic Security Training day 1
Basic Security Training day 1
 
Giaoan Atbm
Giaoan AtbmGiaoan Atbm
Giaoan Atbm
 
Bài giảng Hệ thống thông tin quản lý
Bài giảng Hệ thống thông tin quản lýBài giảng Hệ thống thông tin quản lý
Bài giảng Hệ thống thông tin quản lý
 
Slide báo cáo bài tập lớn-nhóm5.pptx
Slide báo cáo bài tập lớn-nhóm5.pptxSlide báo cáo bài tập lớn-nhóm5.pptx
Slide báo cáo bài tập lớn-nhóm5.pptx
 
C01 tongquan
C01 tongquanC01 tongquan
C01 tongquan
 
C1
C1C1
C1
 
CƠ SỞ LÝ LUẬN VỀ VẤN ĐỀ AN TOÀN BẢO MẬT THÔNG TIN.docx
CƠ SỞ LÝ LUẬN VỀ VẤN ĐỀ AN TOÀN BẢO MẬT THÔNG TIN.docxCƠ SỞ LÝ LUẬN VỀ VẤN ĐỀ AN TOÀN BẢO MẬT THÔNG TIN.docx
CƠ SỞ LÝ LUẬN VỀ VẤN ĐỀ AN TOÀN BẢO MẬT THÔNG TIN.docx
 

BaiDaoTao Nhan Thuc_ISO/IEC 27001 va ISMS

  • 1. ĐÀO TẠO NHẬN THỨC HỆ THỐNG QUẢN LÝ AN TOÀN THÔNG TIN theo TIÊU CHUẨN ISO/IEC 27001:2013 Ngày năm 2021 Người trình bày:
  • 2. MỤC ĐÍCH: Ø Đào tạo nhận thức về hệ thống quản lý an toàn thông tin theo tiêu chuẩn ISO/IEC 27001:2013 ĐỐI TƯỢNG: Ø Lãnh đạo Ø Cán bộ quản lý
  • 3. NỘI DUNG TRÌNH BÀY [1] [3] Tiêu chuẩn ISO/IEC 27001:2013 [2] Khái niệm và nguyên tắc ISMS [4] Các bước triển khai ISMS [5] Hỏi và Đáp An toàn thông tin
  • 4. • Định nghĩa thông thường: là thông báo tin, “là điều được truyền đi, báo cho biết sự việc xảy ra, là tất cả những gì mang lại hiểu biết cho người tiếp nhận” Thông tin giúp làm tăng hiểu biết của con người, là nguồn gốc của nhận thức và là cơ sở của quyết định. • Định nghĩa theo ISO: “Thông tin là dữ liệu có ý nghĩa” Thông tin là gì?
  • 6. • Các dạng thức: – âm thanh, lời nói, hình ảnh, chữ viết/con số/ký hiệu, ... – kinh nghiệm, kiến thức, ý tưởng, sáng chế, bí kíp, uy tín, thương hiệu • Các lưu trữ điển hình: – trên giấy, các vật liệu; – phương tiện số/điện tử/quang (băng, đĩa, USB, e-clouds); – Các hệ thống xử lý thông tin; mạng; kênh truyền tin; – trong não bộ con người Các dạng tồn tại của Thông tin
  • 7. • Tạo mới • Thu thập • Xử lý (sao chép, sửa đổi; sắp xếp, chọn lọc, phân tích, tổng hợp) • Lưu trữ • Truyền tải • Bảo vệ • Phá hủy Các hành động đối với Thông tin Các hành động đối với thông tin đều tiềm ẩn rủi ro đến an toàn thông tin.
  • 8. Tài sản Thông tin trong tổ chức 1. Thông tin về Chiến lược: các chiến lược, kế hoạch tổng thể, mục tiêu 2. Thông tin về Sản phẩm và dịch vụ 3. * Sở hữu trí tuệ/Bí mật thương mại: bản quyền, bí quyết, công nghệ, công thức, thiết kế, quy trình ...; Tài liệu đào tạo; Phương tiện tiếp thị: poster, video, bài trình bày 4. * Thông tin tài chính: tài khoản, báo cáo tài chính, 5. * Thông tin về Pháp lý & Tuân thủ 6. * Thông tin nhân sự 7. * Thông tin tiềm lực: quân số, lực lượng, kho tàng, dự trữ, dự phòng 8. Thông tin về Kế hoạch, Phương án dự kiến 9. Thông tin về Văn hóa của tổ chức 10. Thông tin vận hành: thông số vận hành sản xuất, phương thức ... 11. Thông tin hỗ trợ ra quyết định: công cụ, thông tin tổng hợp, phân tích data 12. Thông tin nội bộ: chỉ đạo, báo cáo, lịch hoạt động, 13. Thông tin về Dự án; Nghiên cứu & Phát triển 14. * Thông tin mật: các thông tin xác định là bí mật, tối mật, tuyệt mật 15. * Thông tin khách hàng
  • 9. Thông tin là tài sản có giá trị của tổ chức “Thông tin là một tài sản, giống như các tài sản nghiệp vụ quan trọng khác, là điều cần thiết cho nghiệp vụ của tổ chức và do đó cần được bảo vệ thích hợp. Thông tin có thể được lưu trữ dưới nhiều hình thức, bao gồm: hình thức kỹ thuật số (ví dụ như tập tin dữ liệu được lưu trữ trên phương tiện lưu trữ điện tử hoặc quang học), hình thức vật chất (ví dụ như trên giấy). Thông tin có thể được truyền bằng các phương tiện khác nhau bao gồm: chuyển phát nhanh, giao tiếp điện tử hoặc bằng lời nói. Bất cứ hình thức mang thông tin nào hoặc các phương tiện mà thông tin được truyền đi, thông tin luôn luôn cần được bảo vệ thích hợp.”
  • 10. Nguy cơ đối với an toàn thông tin • Các cuộc tấn công phá hoại, lừa đảo, gián điệp • Các sai sót/chủ định xấu của con người • Các lỗi công nghệ thiết bị • Tác động của môi trường, tự nhiên: động đất, hỏa hoạn • Các điểm yếu vốn có khi sử dụng thông tin Thông tin và các tài sản chứa thông tin cần được bảo vệ thích đáng
  • 11.
  • 12.
  • 13.
  • 14. 14
  • 15. 15
  • 16. 16
  • 17. Theo đánh giá của Ban Cơ yếu Chính phủ năm 2020: 1. Tấn công mạng, đặc biệt là tấn công lây nhiễm mã độc sử dụng trí tuệ nhân tạo (AI); 2. Tấn công mạng vào các hệ thống thương mại điện tử, tài chính - ngân hàng... với mục tiêu tống tiền, đánh cắp thông tin, dữ liệu của tổ chức, cá nhân; 3. Tấn công vào hạ tầng, thiết bị IoT, đô thị thông minh; đồng thời lợi dụng các hạ tầng, thiết bị này đề thực hiện tấn công mạng; 4. Tấn công mạng có chủ đích vào các cơ quan, tổ chức nhà nước nhằm lấy cắp thông tin bí mật nhà nước; 5. Giả mạo các cơ quan, tổ chức, cá nhân để bôi nhọ, nói xấu và phát tán thông tin độc hại trên mạng. 5 nguy cơ chính về An toàn thông tin ở VN
  • 18. An toàn thông tin (ISO) - Bảo mật (Confidentiality) - Toàn vẹn (Intergrity) - Sẵn sàng (Availability) Tam giác an toàn thông tin Information Security – An toàn thông tin Đặc trưng của an toàn thông tin:
  • 19. Bảo mật: “Đặc tính thông tin không sẵn sàng cung cấp hoặc không được tiết lộ cho các cá nhân, thực thể hoặc các quá trình không được phép” – ISO/IEC 27000 VD: - Khóa kín, niêm phong thiết bị - xác thực username + password/ phraseword hay sinh trắc - Mã hóa thông tin bằng giao thức và thuật toán mạnh C An toàn thông tin (ISO)
  • 20. Toàn vẹn: “Đặc tính về độ chính xác và đầy đủ” - ISO/IEC 27000 Thông tin chỉ được phép xóa hoặc sửa hợp lệ và phải đảm bảo rằng thông tin vẫn chính xác khi được lưu trữ hay truyền đi. VD: - Thay đổi giao diện trang chủ của một website. - Chặn, thay đổi gói tin gửi qua mạng. - Chỉnh sửa trái phép các file lưu trữ I An toàn thông tin (ISO)
  • 21. Sẵn sàng: “Đặc tính có thể truy cập và sử dụng được theo yêu cầu của một chủ thể được phép” VD: - một server ngừng cung cấp dịch vụ trong vòng 5 phút/năm thì độ sẵn sàng là 99,999%. - quản lý tốt mật khẩu, khoá - sao lưu/dự phòng A An toàn thông tin (ISO)
  • 22. Thế nào là An toàn thông tin? An toàn thông tin là bảo toàn C.I.A. “Đảm bảo thông tin chính xác, đầy đủ, sẵn có đúng lúc cho những nhu cầu hợp lệ, là đem lại hiệu quả cho tổ chức” “An toàn thông tin liên quan đến việc áp dụng và quản lý các biện pháp an ninh thích hợp có liên quan đến việc xem xét các mối đe dọa, với mục tiêu đảm bảo kinh doanh bền vững thành công, duy trì liên tục và giảm thiểu tác động của các sự cố an toàn thông tin”.
  • 23. An toàn thông tin không chỉ là IT An toàn thông tin An toàn công nghệ thông tin & truyền thông An ninh mạng
  • 24. 1. Tài sản thông tin rất quan trọng và tồn tại nhiều nơi, 2. Luôn đối diện nguy cơ về an toàn (phá hoại, gián điệp, lừa đảo; thiếu kiến thức, vô ý thức; hoả hoạn, bão lụt). 3. Các thiệt hại do mã độc, DoS, hacking, Ransomware... ngày càng tăng tiến, phức tạp. 4. Việc chia sẻ thông tin khi kết nối giữa mạng chung và mạng riêng, giữa tổ chức và các bên quan tâm làm khó khăn cho kiểm soát truy cập và xử lý thông tin 5. Việc sử dụng thiết bị di động làm giảm hiệu lực kiểm soát 6. Không đưa ATTT vào khi thiết kế xây dựng các hệ thống sẽ khó khăn và tốn kém về sau Nhu cầu bảo vệ an toàn thông tin Bảo vệ tài sản thông tin thông qua việc xác định, thực hiện, duy trì và cải thiện hiệu quả an toàn thông tin là cần thiết, cho phép một tổ chức đạt được mục tiêu của mình cũng như duy trì và nâng cao hình ảnh và tính tuân thủ luật pháp của tổ chức.
  • 25. Giải pháp đảm bảo ATTT • Giải pháp cho vấn đề quản lý an toàn thông tin của một tổ chức phải là toàn diện, có hệ thống và thích ứng kịp thời với tình hình an ninh thông tin. Ngoài việc tuân thủ các quy định pháp luật, cần có một hệ thống quản lý tiên tiến và khoa học để quản lý an toàn thông tin
  • 26. • an toàn thông tin (information security) Là sự bảo toàn của việc bảo mật, toàn vẹn và tính sẵn có của thông tin • Tính sẵn sàng (availability): Đặc tính có thể truy cập và sử dụng được theo yêu cầu của một thực thể được phép • Tính toàn vẹn (integrity): Đặc tính về độ chính xác và đầy đủ • Tính bí mật (confidentiality): Đặc tính thông tin không sẵn sàng cung cấp hoặc không được tiết lộ cho các cá nhân, thực thể hoặc các quá trình không được phép. • Tính tin cậy (reliability): Đặc tính của hành vi và kết quả trù định có tính nhất quán. • Tính xác thực (authenticity): Đặc tính mà một chủ thể là thứ đã được tuyên bố. • Chống chối bỏ (non-repudiation): Khả năng chứng minh sự xuất hiện của một sự kiện hoặc hành động đã yêu cầu và các thực thể sinh ra chúng. Thuật ngữ
  • 27. • yêu cầu (requirement): nhu cầu hay mong đợi được tuyên bố, thường là ngụ ý hay bắt buộc. • sự phù hợp (conformity): sự thực hiện đầy đủ một yêu cầu. • chính sách (policy): Mục đích và định hướng của một tổ chức được thể hiện chính thức bởi ban quản lý cấp cao • mục tiêu (objective): Kết quả cần đạt được • quá trình (process): tập hợp các hoạt động có liên quan hoặc tương tác lẫn nhau nhằm biến các đầu vào thành các đầu ra. • quy trình (procedure): cách thức cụ thể để tiến hành một hoạt động hay quá trình. • mối đe dọa (threat): nguyên nhân tiềm ẩn có thể gây ra sự cố không mong muốn, làm hại đến hệ thống hoặc tổ chức. • lỗ hổng/điểm yếu (vulnerabilities): Là điểm yếu của tài sản/biện pháp kiểm soát mà có thể bị lợi dụng bởi 1 hay nhiều mối đe dọa. • rủi ro (risk): Tác động của sự không chắc chắn đến mục tiêu. *Rủi ro an toàn thông tin có liên quan đến khả năng phát sinh mối đe dọa khai thác điểm yếu của một tài sản thông tin hoặc một nhóm các tài sản thông tin và do đó gây ra thiệt hại cho tổ chức. • biện pháp kiểm soát (control): Biện pháp làm thay đổi rủi ro. Thuật ngữ
  • 28. NỘI DUNG TRÌNH BÀY [1] [3] Tiêu chuẩn ISO/IEC 27001:2013 [2] Khái niệm và nguyên tắc ISMS [4] Các bước triển khai ISMS [5] Hỏi và Đáp An toàn thông tin
  • 29. Khái niệm Quản lý của ISO • Quản lý: là các hoạt động chỉ đạo, kiểm soát và cải tiến liên tục tổ chức trong cấu trúc thích hợp Hoạt động quản lý bao gồm hành động, cách thức, hay thực hành tổ chức, xử lý, chỉ đạo, giám sát và kiểm soát các nguồn tài nguyên • Quản lý ATTT: • Là việc giám sát và ra các quyết định cần thiết để đạt được mục tiêu kinh doanh thông qua việc bảo vệ tài sản thông tin của tổ chức; • được thể hiện qua việc xây dựng và áp dụng các chính sách, thủ tục, hướng dẫn an toàn thông tin và áp dụng trong toàn bộ tổ chức bởi tất cả các cá nhân liên quan trong tổ chức.
  • 30. Tiếp cận theo quá trình • Các tổ chức cần phải xác định và quản lý nhiều hoạt động để thực hiện chức năng hiệu quả và hữu hiệu. • Mọi hoạt động có sử dụng tài nguyên cần phải được quản lý để cho phép việc chuyển đổi đầu vào thành đầu ra sử dụng một tập hợp các hoạt động có liên quan hay có tương tác. Đây được xem như một quy trình. Kết quả của một quy trình có thể trực tiếp tạo thành đầu vào cho quy trình khác và thường việc chuyển đổi này được thực hiện trong điều kiện có kế hoạch và có kiểm soát. • Việc áp dụng một hệ thống các quy trình trong tổ chức, cùng với sự nhận biết và tương tác giữa các quy trình và việc quản lý chúng có thể được gọi là một "cách thức tiếp cận quy trình".
  • 31. PDCA Sử dụng chu trình PDCA (Edward Demming) để quản lý các Quá trình: Lập Kế hoạch PLAN - Đặt ra các mục tiêu của hệ thống, - XD các quá trình, nguồn lực cần thiết để đạt các KQ theo yêu cầu của kế hoạch, theo chính sách của TC. - Nhận biết & giải quyết các rủi ro & cơ hội. Thực hiện DO Thực hiện những gì đã lập Kế hoạch Kiểm tra CHECK - Theo dõi và đo lường các quá trình & KQ so với các chính sách, mục tiêu, yêu cầu & các hoạt động theo kế hoạch. - Báo cáo các KQ. Hành động Khắc phục ACT Thực hiện các hành động để cải tiến các KQ thực hiện khi cần thiết.
  • 32. Quá trình ISMS theo PDCA Plan Act Do Các bên quan tâm ATTT được quản lý Thực hiện & Vận hành ISMS Thiết lập ISMS Duy trì và Cải tiến ISMS Theo dõi & Soát xét ISMS Check Trách nhiệm quản lý Các yêu cầu về ATTT Các bên quan tâm Các bên quan tâm Các yêu cầu về ATTT Các bên quan tâm
  • 33. Quản lý an toàn thông tin • Thành phần cơ bản của quản lý an toàn thông tin: Các hoạt động phối hợp định hướng cho việc: - triển khai các biện pháp kiểm soát thích hợp, - xử lý các rủi ro về an toàn thông tin • Những rủi ro an toàn thông tin và hiệu quả của các biện pháp kiểm soát luôn thay đổi phụ thuộc vào hoàn cảnh thay đổi, các tổ chức cần phải: 1. giám sát và đánh giá hiệu quả của các biện pháp kiểm soát và các thủ tục đã được triển khai; 2. xác định những rủi ro mới xuất hiện cần được xử lý; 3. lựa chọn, thực thi và cải thiện các biện pháp kiểm soát thích hợp khi cần thiết. • Tổ chức cần phải xây dựng chính sách và mục tiêu an toàn thông tin của mình và đạt được những mục tiêu đó một cách hiệu quả bằng cách sử dụng ISMS.
  • 34. Hệ thống quản lý ATTT là gì? • Một hệ thống quản lý sử dụng một cơ cấu các nguồn lực để đạt được mục tiêu của tổ chức. Hệ thống quản lý bao gồm: cơ cấu, chính sách, hoạt động lập kế hoạch, trách nhiệm, thực hành, quy trình, quá trình và nguồn lực của tổ chức. • Hệ thống quản lý an toàn thông tin cho phép một tổ chức thực thi: a) đáp ứng các yêu cầu an toàn thông tin của khách hàng và các bên liên quan khác; b) cải tiến các kế hoạch và hoạt động của một tổ chức; c) đáp ứng các mục tiêu an toàn thông tin của tổ chức; d) tuân thủ các quy định, pháp luật và các yêu cầu bắt buộc của lĩnh vực; e) quản lý tài sản thông tin một cách có tổ chức tạo điều kiện cải tiến liên tục và điều chỉnh các mục tiêu tổ chức hiện hành.
  • 35. Hệ thống quản lý ATTT-ISMS • Là hệ thống để quản lý việc bảo vệ an toàn thông tin của tổ chức • Là hệ thống quản lý: “việc thiết lập, triển khai, duy trì, vận hành, giám sát, xem xét và cải tiến liên tục ATTT để đạt mục tiêu công việc” Information Security Management System - ISMS • ISMS bao gồm các thành phần: - cơ cấu tổ chức; - các chính sách; - quy hoạch; - trách nhiệm; - quá trình; - quy trình - thực hành/thông lệ, - các nguồn lực
  • 36. Hệ thống quản lý ATTT-ISMS 1. ISMS là một cách tiếp cận có hệ thống để thiết lập, triển khai, vận hành, giám sát, soát xét, duy trì và cải tiến an toàn thông tin của tổ chức để đạt được mục tiêu nhiệm vụ. 2. Cách tiếp cận này dựa trên đánh giá rủi ro và mức chấp nhận rủi ro được thiết kế để xử lý và quản lý rủi ro có hiệu quả. 3. Việc phân tích các yêu cầu về bảo vệ tài sản thông tin và áp dụng các biện pháp kiểm soát thích hợp để đảm bảo việc bảo vệ các tài sản thông tin sẽ góp phần vào việc thực hiện thành công một hệ thống ISMS.
  • 37. ISMS quản lý những gì? 1. Bối cảnh của Tổ chức; 2. Lãnh đạo và Cam kết 3. Mục tiêu ATTT; 4. Chính sách ATTT 5. Vai trò, trách nhiệm và năng lực; 6. Quản lý rủi ro; 7. Giám sát hiệu suất & KPIs; 8. Tài liệu; 9. Trao đổi thông tin 10. Năng lực và Nhận thức; 11. Mối quan hệ với nhà cung cấp 12. Kiểm toán nội bộ; 13. Quản lý sự cố 14. Cải tiến liên tục; 15. Quản lý tài sản; 16. Quản lý truy cập; 17. Quản lý mã hóa; 18. An ninh vật lý và môi trường; 19. An ninh vận hành;20. An ninh truyền thông 21. An ninh trong tiếp nhận, phát triển và duy trì hệ thống 22. An ninh trong đảm bảo Kinh doanh liên tục 23. Quản lý tuân thủ; 24. Thiết bị di động và làm việc từ xa; 25. An ninh trong phát triển dự án
  • 38. Nguyên tắc để thực hiện thành công ISMS a) nhận thức về sự cần thiết của an toàn thông tin; b) phân công trách nhiệm đảm bảo an toàn thông tin; c) kết hợp cam kết quản lý và lợi ích của các bên liên quan; d) nâng cao giá trị xã hội; e) việc đánh giá rủi ro quyết định các biện pháp kiểm soát thích hợp để đạt được mức độ chấp nhận rủi ro; f) hợp tác về an ninh như một yếu tố thiết yếu của mạng lưới thông tin và hệ thống; g) Ngăn chặn và phát hiện một cách tích cực các sự cố an toàn thông tin; h) đảm bảo một cách tiếp cận toàn diện để quản lý an toàn thông tin; và i) đánh giá lại liên tục an toàn thông tin và thực hiện các sửa đổi cho phù hợp.
  • 39. Tại sao ISMS lại quan trọng ? Việc áp dụng thành công một hệ thống ISMS là điều quan trọng để bảo vệ tài sản thông tin cho phép một tổ chức: 1. đảm bảo rằng thông tin của mình được bảo vệ đầy đủ chống lại các mối đe dọa liên tục; 2. duy trì một bộ khung toàn diện, có cấu trúc để xác định và đánh giá rủi ro an toàn thông tin, lựa chọn và áp dụng các biện pháp kiểm soát khả dụng, đo lường và cải thiện hiệu quả của chúng; 3. liên tục cải thiện môi trường kiểm soát; 4. Đạt được tuân thủ pháp luật và các quy định một cách hiệu quả.
  • 40. 5 lợi ích cho tổ chức: 1. Tuân thủ (Luật định, chế định, hợp đồng) 2. đáp ứng các mục tiêu an toàn thông tin của tổ chức; đáp ứng các yêu cầu an toàn thông tin của khách hàng và các bên liên quan khác 3. Tăng tính cạnh tranh 4. Giảm chi phí. 5. Tổ chức tốt và hoạt động hiệu quả Lợi ích của ISMS Bảo vệ An toàn Thông tin
  • 41. Thiết lập, giám sát, duy trì và cải tiến ISMS 1. Xác định tài sản thông tin và yêu cầu an toàn thông tin liên quan; 2. Đánh giá rủi ro an toàn thông tin và 3. Xử lý rủi ro an toàn thông tin; 4. Lựa chọn và thực hiện các biện pháp kiểm soát liên quan đến quản lý rủi ro không thể chấp nhận; 5. Giám sát, duy trì và nâng cao hiệu quả các biện pháp kiểm soát tài sản thông tin của tổ chức. 6. thực hiện các bước (1) - (5) lặp đi lặp lại để xác định những thay đổi trong rủi ro hoặc trong chiến lược của tổ chức, mục tiêu kinh doanh, đảm bảo cải tiến liên tục
  • 42. 1. Xác định các yêu cầu an toàn thông tin Trong chiến lược kinh doanh và mục tiêu chung của tổ chức, quy mô hoạt động, không gian địa lý, các yêu cầu an toàn thông tin có thể được xác định thông qua: a) tài sản thông tin xác định và giá trị của chúng; b) nhu cầu kinh doanh/công việc để xử lý thông tin, lưu trữ và truyền thông; c) yêu cầu pháp lý, quy định và hợp đồng. Việc thực hiện phương pháp đánh giá rủi ro gắn với tài sản thông tin của một tổ chức liên quan đến thực hiện phân tích: - các mối đe dọa đến tài sản thông tin, - các điểm yếu và - khả năng xảy ra mối đe dọa cụ thể tới các tài sản thông tin, - tác động tiềm năng của bất kỳ sự cố an toàn thông tin nào về tài sản thông tin. Chi phí cho các biện pháp kiểm soát liên quan dự kiến sẽ tương ứng với tác động kinh doanh được nhận thức của rủi ro hiện hữu..
  • 43. 2. Đánh giá các rủi ro an toàn thông tin Quản lý RR ATTT đòi hỏi phải đánh giá nguy cơ và có phương pháp xử lý RR thích hợp, có thể bao gồm một dự toán chi phí và lợi ích, các yêu cầu pháp lý, mối quan tâm của các bên liên quan, các đầu vào và các biến thích hợp khác. Đánh giá RR cần xác định, định lượng và đặt mức ưu tiên cho các rủi ro theo các tiêu chí chấp nhận RR và các mục tiêu có liên quan đến tổ chức. Kết quả sẽ hướng dẫn và xác định hành động quản lý phù hợp và mức ưu tiên cho việc quản lý RR ATTT và thực thi biện pháp kiểm soát đã lựa chọn để bảo vệ chống lại những RR. Đánh giá RR phải bao gồm các phương pháp tiếp cận có hệ thống, ước tính mức độ rủi ro (phân tích RR) và quy trình so sánh RR ước tính theo các tiêu chí RR để xác định tầm quan trọng của RR (đánh giá RR). Đánh giá RR phải được thực hiện định kỳ để giải quyết vấn đề thay đổi trong các yêu cầu ATTT và trong tình huống RR, ví dụ như trong các tài sản, các mối đe dọa, các điểm yếu, tác động, ước lượng RR và khi xảy ra những thay đổi đáng kể. Việc đánh giá RR cần được thực hiện một cách có phương pháp, có khả năng cho ra kết quả so sánh và tái tạo được kết quả. Đánh giá RR ATTT nên có một phạm vi xác định rõ ràng để có hiệu quả và nên bao gồm các mối quan hệ với đánh giá RR trong các lĩnh vực khác, nếu thích hợp.
  • 44. Trước khi xem xét xử lý RR, tổ chức nên quyết định tiêu chí chấp nhận RR. RR có thể được chấp nhận nếu nó được đánh giá là nguy cơ thấp hoặc chi phí xử lý không hiệu quả. Quyết định này nên được ghi lại. Đối với mỗi RR được xác định sau khi đánh giá RR, cần phải đưa ra một quyết định xử lý RR. Tùy chọn có thể cho xử lý rủi ro bao gồm: a) áp dụng các biện pháp kiểm soát thích hợp để giảm thiểu RR; b) chấp nhận RR có chủ ý và khách quan, nếu chúng đáp ứng rõ ràng chính sách và tiêu chí của tổ chức đặt ra về chấp nhận RR; c) tránh RR bằng cách không cho phép những hành động có thể gây ra RR xảy ra; d) chia sẻ các RR liên quan đến các bên khác, ví dụ như công ty bảo hiểm hoặc các nhà cung cấp. Đối với những RR mà các quyết định xử lý RR đã chỉ định việc áp dụng các biện pháp kiểm soát thích hợp, nên lựa chọn và thực hiện các biện pháp kiểm soát này. 3. Xử lý các rủi ro an toàn thông tin
  • 45. Các biện pháp kiểm soát phải đảm bảo rằng RR được giảm đến một mức chấp nhận được có xem xét đến: a) yêu cầu và hạn chế của pháp luật và quy định của quốc gia và quốc tế; b) các mục tiêu tổ chức; c) các yêu cầu và hạn chế trong hoạt động; d) chi phí thực hiện và hoạt động liên quan đến rủi ro được giảm và còn lại tỷ lệ thuận với các yêu cầu và hạn chế của tổ chức; e) nên thực hiện giám sát, đánh giá và nâng cao hiệu quả và hiệu lực của các biện pháp kiểm soát an toàn thông tin nhằm hỗ trợ mục tiêu của tổ chức. Việc lựa chọn và thực hiện biện pháp kiểm soát nên được ghi chép trong một tuyên bố áp dụng nhằm hỗ trợ các yêu cầu tuân thủ. f) sự cần thiết để cân bằng đầu tư trong việc thực hiện và vận hành các biện pháp kiểm soát với sự mất mát có thể là kết quả của sự cố ATTT. 4. Chọn lựa và triển khai các biện pháp kiểm soát
  • 46. Một tổ chức cần duy trì và cải thiện hệ thống ISMS thông qua giám sát và đánh giá năng lực về các chính sách và mục tiêu của tổ chức và báo cáo kết quả với nhà quản lý để xem xét. Việc soát xét ISMS này sẽ kiểm tra xem hệ thống ISMS có bao gồm các biện pháp kiểm soát đặc thù thích hợp để xử lý rủi ro trong phạm vi hệ thống ISMS hay không. Ngoài ra, dựa trên các bản ghi về khu vực giám sát, sẽ có bằng chứng thẩm tra và theo vết các hành động khắc phục, phòng ngừa và cải thiện. 5. Giám sát, duy trì và cải thiện hiệu quả của ISMS
  • 47. Mục đích của việc cải tiến liên tục một ISMS là để tăng khả năng đạt được các mục tiêu liên quan tới duy trì tính bảo mật, tính sẵn sàng và tính toàn vẹn của thông tin. Trọng tâm của việc CTLT là tìm kiếm cơ hội để cải tiến và không giả định rằng các hoạt động quản lý hiện tại là đủ tốt hoặc tốt như hệ thống có thể. Các hành động cải tiến bao gồm: a) phân tích và đánh giá các tình huống hiện tại để xác định các vùng cần cải tiến; b) thiết lập các mục tiêu cải tiến; c) tìm kiếm các giải pháp có thể để đạt được các mục tiêu; d) đánh giá các giải pháp hiện tại và thực hiện một lựa chọn; e) triển khai các giải pháp được lựa chọn; f) đo lường, xác minh, phân tích và đánh giá các kết quả triển khai để xác định rằng các mục tiêu đã được đáp ứng; g) chính thức hóa các thay đổi; Kết quả được soát xét là cần thiết để xác định các cơ hội để cải tiến. Bằng cách này, cải tiến là một hoạt động liên tục, các hành động được lặp lại thường xuyên. Phản hồi từ khách hàng và các bên quan tâm, đánh giá và soát xét hệ thống quản lý ATTT cũng có thể được sử dụng để xác định các cơ hội cải tiến. 6. Cải tiến liên tục (CTLT)
  • 48. QUẢN LÝ RỦI RO THEO ISO/IEC 27001 Đảm bảo tính kinh doanh liên tục và tuân thủ chế định và pháp định Mục tiêu kiểm soát rủi ro – Phương pháp đánh giá rủi ro Tài sản Thông tin Phần mềm Hình ảnh uy tín Đối tác Khách hàng Thầu phụ Các h.động sản xuất Dịch vụ Vật lý Con người Tiêu chí chấp nhận rủi ro Những điểm yếu Mức rủi ro (H,M,L) Mối đe dọa Mất tính bảo mật, tính toàn vẹn, tính sẵn sàng Nhận biết các mức độ bảo mật, giá trị của tất cả các tài sản Kiếm soát xử lý rủi ro Các hành động cải tiến giảm rủi ro Đo lường, đánh giá tính hiệu lực của các phương pháp kiểm soát Phòng ngừa, giảm thiểu, chuyển giao, chấp nhận rủi ro
  • 49. Quy trình quản lý Rủi ro ATTT Thiết lập bối cảnh Truyền thông và tham vấn Giám sát và xem xét Nhận diện rủi ro Phân tích RR Xử lý rủi ro Định lượng RR Đánh giá rủi ro
  • 50. Quản lý Rủi ro (Risk Management) gồm 2 Quá trình: – Đánh giá Rủi ro (Risk Assessment); – Xử lý Rủi ro (Risk Treatment). Quản lý Rủi ro cần xem xét: – các Chi phí/Lợi ích; – các yêu cầu pháp lý; – các yêu cầu của các bên liên quan Quản lý Rủi ro
  • 51. Quản lý Rủi ro ATTT Thiết lập bối cảnh: • Xem xét các vấn đề liên quan • Lập kế hoạch hành động để giải quyết RR/cơ hội • Xác định phương pháp quản lý RR • Xây dựng quá trình đánh giá RR: 1. Thiết lập Tiêu chí chấp nhận RR (Criteria for Risk Acceptance) 2. Thiết lập tiêu chí để đánh giá RR
  • 52. Đánh giá Rủi ro ATTT • Bước 1: Nhận diện RR: nhận diện các Mối nguy (Identify Hazards) • Bước 2: Phân tích Rủi ro (Analyse Risks): 1. Khả năng xảy ra (Likelihood) Hậu quả (Consequence); 2. Mức độ nghiêm trọng (Severity) của Hậu quả; 3. Phân cấp Rủi ro (Level of Risk) • Bước 3: Đánh giá So sánh (Evaluate) Rủi ro với Tiêu chí chấp nhận Rủi ro (Criteria for Risk Acceptance) đã được thiết lập.
  • 53. Đánh giá Rủi ro ATTT - Tần suất xuất hiện (Likelihood) Mức độ RR = kết hợp - Mức nghiêm trọng của Hậu quả (Severity of Consequence) Xác định Cấp Rủi ro ATTT để làm gì? - Liệt kê - Phân loại, xếp ưu tiên - So sánh với tiêu chí chấp nhận RR - Chọn Xử lý những RR mức cao;
  • 54. Xử lý Rủi ro ATTT • Tổ chức phải quyết định Tiêu chí Chấp nhận Rủi ro (Acceptable Risk Criteria) trước khi cân nhắc Xử lý RR. • Với mỗi Rủi ro, có 4 lựa chọn để xử lý: a) Tránh để không xảy ra RR; b) Áp dụng Kiểm soát để Giảm thiểu RR; c) Chia sẻ RR (Bảo hiểm/thuê ngoài) d) Chấp nhận RR, ; • Việc lựa chọn các phương án cần cân nhắc Chi phí/Lợi ích.
  • 55. Xử lý Rủi ro ATTT RISK ASSESSMENT RESULTS SATISFACTORY ASSESSMENT RISK TREATMENT OPTIONS RISK MODIFICATION RISK RETENTION RISK AVOIDANCE RISK SHARING RESIDUAL RISKS SATISFACTORY TREATMENT Risk decision point 1 Risk Treatment Risk decision point 2 ISO/IEC 27005:2011
  • 56. Rủi ro an toàn thông tin
  • 57. Hệ thống quản lý ATTT Quản lý rủi ro Quản lý An toàn thông tin Công nghệ thông tin An ninh mạng Kinh doanh liên tục
  • 58. NỘI DUNG TRÌNH BÀY [1] [3] Tiêu chuẩn ISO/IEC 27001:2013 [2] Khái niệm và nguyên tắc ISMS [4] Các bước thực hiện Hệ thống [5] Hỏi và Đáp An toàn thông tin
  • 59. ISO là gì? International Organization for Standardization “Tổ chức Tiêu chuẩn hoá Quốc tế” http://iso.org
  • 60. ⦿ Tổ chức phi chính phủ, thành lập 1946, ⦿ Trụ sở tại Giơ-ne-vơ, Thụy Sĩ; ⦿ Là cơ quan xây dựng các tiêu chuẩn quốc tế, cung cấp những tiêu chuẩn hiện đại cho tất cả các tổ chức. ⦿ ISO không chứng nhận đạt tiêu chuẩn ⦿ Các tài liệu ISO là có bản quyền và tính phí ⦿ Việt Nam là thành viên từ 1977 ISO là gì?
  • 61. ⦿ Đảm bảo An toàn, Tin cậy, Chất lượng; ⦿ Là công cụ chiến lược, giúp giảm chi phí, giảm sản phẩm lỗi, giảm sai sót và tăng năng suất; ⦿ Nâng cao uy tín, năng lực cạnh tranh của tổ chức; ⦿ Thúc đẩy thương mại toàn cầu Công bằng và Tự do. Lợi ích áp dụng Tiêu chuẩn ISO
  • 62. ⦿ ISO 9000 - Quản lý Chất lượng ⦿ ISO 14000 - Quản lý Môi trường ⦿ ISO 20000 - Quản lý Dịch vụ Thông tin ⦿ ISO/IEC 27000 - Quản lý An toàn thông tin ⦿ ISO 31000 - Quản lý Rủi ro ⦿ ISO 45000 - An toàn Sức khoẻ Nghề nghiệp Các tiêu chuẩn ISO phổ biến
  • 63. Thông qua sử dụng họ tiêu chuẩn ISMS, các tổ chức có thể xây dựng và triển khai một bộ khung cho việc quản lý an toàn các tài sản thông tin của họ, bao gồm các thông tin tài chính, sở hữu trí tuệ, chi tiết về nhân sự, hoặc các thông tin đã được các khách hàng hay bên thứ ba cung cấp. Họ Tiêu chuẩn ISO/IEC 27000-ISMS Là họ tiêu chuẩn về Hệ thống quản lý an toàn thông tin - ISMS Mục đích: • Giúp các tổ chức: Xây dựng và triển khai một bộ khung (framework) cho quản lý an toàn các tài sản thông tin • Giúp đánh giá Hệ thống Quản lý An toàn thông tin - ISMS của các tổ chức
  • 64. Cấu trúc Bộ Tiêu chuẩn ISMS 27000 Tổng quan-Từ vựng 27001 Các yêu cầu 27006 Đánh giá - Chứng nhận 27002 Quy tắc thực hành 27003 Áp dụng 27004 Đo lường 27005 Quản lý rủi ro 27007 Kiểm soát 27008 Đánh giá Kiểm soát 27013 Tích hợp thực hiện 27014 Quản trị IS 27016 Kinh tế tổ chức 27010 inter 27011 HD cho 27002 27015 DV Tài chính 27017 2703x 2704x 2703x 2704x Chuẩn Từ vựng Chuẩn Yêu cầu Chuẩn Hướng dẫn Chuẩn HD theo ngành Chuẩn HD theo kiểm soát
  • 65. Tiêu chuẩn ISO/IEC 27001:2013 • Là các yêu cầu cần tuân thủ trong việc xây dựng, triển khai thực hiện, đảm bảo duy trì và cải tiến liên tục một hệ thống an toàn thông tin của một tổ chức • Là căn cứ để đánh giá chứng nhận đạt chuẩn
  • 66. Tiêu chuẩn ISO/IEC 27001:2013
  • 67. Lịch sử phát triển 67 ISO/IEC 27001:2005 ISO 17799: 2000 BS 7799 -1 1995 2000 1999 2002 2005 2013 ISO/IEC 27001:2013 ISO/IEC 27002:2005 BS 7799 -2:2002 BS 7799 -1:1999 BS 7799 -2:1999
  • 68. Tiêu chuẩn ISO/IEC 27001:2013 Phụ lục Quy chuẩn 14 nội dung 35 mục tiêu 114 kiểm soát ISO/IEC 27001:2013 Các yêu cầu Các điều khoản 4-10
  • 69. Cấu trúc các điều khoản chính 4. Bối cảnh của tổ chức (Vấn đề bên trong bên ngoài, Yêu cầu của bên q/tâm, Xác định phạm vi ISMS) 7. Hỗ trợ Các Nguồn lực, Năng lực, Nhận thức, Trao đổi Thông tin, Th.tin Văn bản hóa 9. Đánh giá thực hiện Theo dõi, Đo lường, Phân tích, Đánh giá Đánh giá nội bộ, Xem xét của lãnh đạo 5. Vai trò Lãnh đạo Lãnh đạo, Cam kết, Ch.sách, T.nhiệm, Quyền hạn 6. Hoạch định Quản lý rủi ro; Mục tiêu ATTT & Kế hoạch 8. Vận hành Kế hoạch vận hành và k.soát; Đánh giá, Xử lý RR 10. Cải tiến Sự không PH & Hành động KP; Cải tiến liên tục
  • 70. Các điều khoản ISO/IEC 27001:2013 4. Bối cảnh của Tổ chức 4.1. Hiểu về tổ chức bối cảnh 4.2. Hiểu về nhu cầu và kỳ vọng của các bên liên quan 4.3. Xác định phạm vi của ISMS 4.4. ISMS 5. Sự lãnh đạo 5.1. Cam kết của lãnh đạo 5.2 Chính sách ATTT 5.3. Vai trò, quyền hạn và trách nhiệm của tổ chức 6. Hoạch định 6.1. Hành độn xử lý rủi ro và các cơ hội 6.2. Mục tiêu và kế hoạch về ATTT 7. Hỗ trợ 7.1. Cung cấp nguồn lực 7.2. Năng lực 7.3. Nhận thức 7.4. Trao đổi thông tin 7.5. Yêu cầu về tài liệu 8. Vận hành 8.1. Lập kế hoạch điều hành và kiểm soát 8.2. Đánh giá rủi ro ATTT 8.3. Xử lý rủi ro về ATTT 9. Đánh giá kết quả 9.1. Giám sát, đo lường, phân tích và đánh giá 9.2. Đánh giá nội bộ 9.3. Xem xét lãnh đạo 10. Cải tiến 10.1 Sự KPH và Hành động khắc phục 10.2. Cải tiến liên tục
  • 71. Phụ lục Tiêu chuẩn ISO/IEC 27001:2013 A.5 Chính sách ATTT A.12 An toàn Vận hành A.7 An toàn nguồn nhân lực A.8 Quản lý tài sản A.9 Kiểm soát truy cập A.11 An toàn vật lý và môi trường A.15 Quan hệ với nhà cung cấp A.14 Tiếp nhận, phát triển và duy trì hệ thống A.13 An toàn Trao đổi Thông tin A.10 Mã hóa A.6 Tổ chức ATTT A.17 ATTT trong quản lý hoạt động liên tục A.18 Sự phù hợp A.16 Quản lý sự cố ATTT ISMS Kiểm soát 1 3 5 9 7 8 2 6 4 10 11 14 12 13
  • 72. NỘI DUNG TRÌNH BÀY [1] [3] Tiêu chuẩn ISO/IEC 27001:2013 [2] Khái niệm và nguyên tắc ISMS [4] Các bước triển khai ISMS [5] Hỏi và Đáp An toàn thông tin
  • 73. 1. Khởi động, Cam kết Triển khai QMS/ISMS; 2. Xác định các Yêu cầu Luật định, Chế định, Hợp đồng liên quan QMS/ISMS; 3. Xác định Phạm vi, Ranh giới QMS/ISMS; CÁC BƯỚC TRIỂN KHAI ISO 27001 Hệ thống Quản lý Chất lượng, ANTT (QMS, ISMS) phù hợp Yêu cầu tiêu chuẩn ISO 9001:2015, ISO/IEC 27001:2013 4. Xác định Hệ thống QMS/ISMS bao gồm các Quá trình; 5. Xác định Tài sản TT và Giá trị Tài sản; 6. Nhận biết Rủi ro, Phân tích Rủi ro, Đánh giá so sánh Rủi ro, Lựa chọn Phương án Xử lý Rủi ro/Kiểm soát Rủi ro; 7. Thiết lập các Chính sách, Mục tiêu Chất lượng/ANTT;
  • 74. 8. Xây dựng, Ban hành hệ thống Tài liệu, theo Yêu cầu của ISO 9001/27001 và Tổ chức (CS, MT, SoA, Kế hoạch Xử lý Rủi ro, Qui định, Qui trình/Biểu mẫu); 9. Vận hành QMS/ISMS, Ghi Hồ sơ; 10. Theo dõi, Soát xét, Duy trì, Cải tiến QMS/ISMS. Hệ thống Quản lý Chất lượng, ANTT (QMS, ISMS) phù hợp Yêu cầu tiêu chuẩn ISO 9001:2015, ISO/IEC 27001:2013 11. Đánh giá Nội bộ (Internal Audit); 12. Họp Xem xét của Lãnh đạo; 13. Khắc phục điểm Không Phù hợp (KPH); 14. Đào tạo Đánh giá viên Nội bộ; 15. Ban hành Chứng chỉ Đánh giá viên Nội bộ; CÁC BƯỚC TRIỂN KHAI ISO 9001, 27001
  • 75. Hệ thống Quản lý Chất lượng, ANTT (QMS, ISMS) phù hợp Yêu cầu tiêu chuẩn ISO 9001:2015, ISO/IEC 27001:2013 16. Đánh giá Nội bộ lần 2; 17. Họp xem xét của Lãnh đạo; 18. Khắc phục điểm Không phù hợp; 19. Đánh giá Chứng nhận thử (Pre Audit); 20. Khắc phục điểm Không phù hợp; 21. Đánh giá Chứng nhận (Main Audit); 22. Khắc phục điểm Không phù hợp; 23. Nộp Hồ sơ, Nhận Chứng chỉ; 24. Đánh giá Giám sát (Surveillance Audit); 25. Đánh giá Chứng nhận lại (Re-Certification Audit). CÁC BƯỚC TRIỂN KHAI ISO 27001
  • 76. Tham khảo: CÁC BƯỚC THỰC HIỆN ISO 27001 I. GIAI ĐOẠN 1: THIẾT KẾ HỆ THỐNG VÀ CHUẨN BỊ NGUỒN LỰC 1. Lập kế hoạch xây dựng hệ thống quản lý ATTT ( tư vấn thành lập, hướng dẫn hoạt động) 2. Khảo sát, đánh giá tình hình thực trạng so với yêu cầu của tiêu chuẩn ISO/IEC 27001:2013 2.1 Khảo sát đánh giá thực trạng 2.2 Lập báo cáo đánh giá thực trạng 2.3 Thiết kế, xây dựng Hệ thống quản lý ATTT 3. Đào tạo nhận thức về ISO/IEC 27001:2013 4. Đào tạo cách thức viết văn bản và cách thức kiểm soát tài liệu - Quyết định thành lập Ban chỉ đạo ATTT; - Báo cáo khảo sát - Dự thảo Hệ thống văn bản quản lý ATTT - Buổi đào tạo: Các cán bộ nắm bắt được các yêu cầu tiêu chuẩn ISO/IEC 27001:2013 và việc tích hợp với các quy định của Pháp luật và các văn bản quy định về an toàn bảo mật thông tin, cách thức kiểm soát tài liệu và xây dựng văn bản II. GIAI ĐOẠN 2: XÂY DỰNG HỆ THỐNG QUẢN LÝ ATTT 1. Xây dựng hệ thống văn bản quản lý ATTT. 2. Xây dựng Chính sách ATTT, mục tiêu, chỉ tiêu ATTT Xây dựng tài liệu quản lý tài sản và đánh giá rủi ro theo hệ thống ATTT yêu cầu 3. Xây dựng kế hoạch hành động thực hiện mục tiêu ATTT 4. Xây dựng các thủ tục quy trình, kế hoạch kiểm soát ATTT, các hướng dẫn và biểu mẫu của các phụ lục 5. Lập sổ tay ATTT và SoA - Các thủ tục quy trình và hướng dẫn quản lý ATTT; - Các bộ phận liên quan tham gia xây dựng hiểu được cách xây dựng/ cách thức thực hiện quy trình, kế hoạch ATTT; hướng dẫn/ cách thức cập nhật biểu mẫu. - Các thủ tục ATTT sẽ được tư vấn hướng dẫn và xây dựng bao gồm: Các tài liệu được tư vấn tiến hành và báo cáo trong báo cáo khảo sát và phải đảm bảo đáp ứng được các yêu cầu tiêu chuẩn ISO/IEC 27001:2013; - Đối với quy định vận hành theo các yêu cầu pháp luật và yêu cầu của hợp đồng bên tư vấn sẽ triển khai đánh giá mức độ phù hợp của các yêu cầu văn bản luật cũng như các yêu khác - Ban hành và phân phối các tài liệu.
  • 77. CÁC BƯỚC THỰC HIỆN ISO 27001 III. GIAI ĐOẠN 3: TRIỂN KHAI THỰC HIỆN 1. Hướng dẫn áp dụng thử, chỉnh sửa và chính thức ban hành tài liệu 2. Hướng dẫn triển khai khi áp dụng, theo dõi, giám sát hoạt động hệ thống quản lý ATTT 3. Đào tạo chuyên gia đánh giá nội bộ - Triển khai thức hiện hệ thống quản lý ATTT; - Ban chỉ đạo nắm được cách thức chỉ đạo, đôn đốc và kiểm tra việc thực hiện của các bộ phận; - Các bộ phận tuân thủ việc thực hiện, các hồ sơ được lập đầy đủ. - Việc thực hiện và cập nhật hồ sơ nhằm kiểm soát được các yêu cầu về ATTT theo tiêu chuẩn ISO/IEC 27001:2013, Luật CNTT, Luật ATTT và các quy định an toàn bảo mật thông tin như quy định tại mục 3.1 và 3.2 danh mục các yêu cầu luật định và quy định khác nhằm đảm bảo mức độ thực hiện một cách thuận lợi IV. GIAI ĐOẠN 4: TỔ CHỨC ĐÁNH GIÁ VÀ HOÀN THIỆN HỆ THỐNG 1. Đánh giá chất lượng nội bộ, lập báo cáo đánh giá nội bộ 2. Họp xem xét của lãnh đạo 3. Hướng dẫn khắc phục các điểm không phù hợp - Thông báo đánh giá và chương trình đánh giá cụ thể cho từng phòng ban bộ phận, từng thời điểm; - Kết quả đánh giá sẽ được lập báo cáo đánh giá nội bộ xác định các điểm không phù hợp cần khắc phục và cải tiến theo yêu cầu ISO/IEC 27001:2013. - Khắc phục triệt để các điểm không phù hợp được phát hiện - Họp xem xét của lãnh đạo V. GIAI ĐOẠN 5: CHỨNG NHẬN HỆ THỐNG 1. Đăng ký chứng nhận 2. Rà soát lại các tài liệu hồ sơ của hệ thống quản lý ATTT 3. Đánh giá thử hệ thống quản lý ATTT 4. Hướng dẫn khắc phục các điểm sau đánh giá thử (nếu có) 5. Đánh giá chứng nhận Hệ thống quản lý ATTT cho 6. Hướng dẫn khắc phục các điểm sau đánh giá chứng nhận (nếu có) 7. Hướng dẫn các thủ tục, phạm vi công việc liên quan khác (theo kế hoạch chi tiết của Đơn vị tư vấn) được Tổ chức chứng nhận cấp chứng chỉ ISO/IEC 27001:2013 8. Hỗ trợ về các thủ tục, giấy tờ liên quan trong quá trình tư vấn, chứng nhận để nghiệm thu - Các hồ sơ làm việc với TCCN được phê duyệt; - Thống nhất kế hoạch đánh giá tại các giai đoạn. - Báo cáo đánh giá của Tổ chức chứng nhận (TCCN); - Khắc phục triệt để các điểm không phù hợp được phát hiện - Hoàn tất hồ sơ khắc phục và chuyển cho Tổ chức chứng nhận. - Tổ chức chứng nhận cấp Chứng chỉ ISO/ IEC 27001:2013
  • 78. CHỨNG CHỈ ISO • Không phải là giấy chứng nhận cho sản phẩm/dịch vụ; • Có giá trị trong 03 năm; • Định kỳ sẽ có giám sát; • Sẽ bị thu hồi chứng chỉ nếu không duy trì.
  • 79. HỆ THỐNG ĐÁNH GIÁ SỰ PHÙ HỢP Cơ quan Công nhận UKAS (RAB, RVA, VICAS) Công nhận Tổ chức Chứng nhận D.A.S, QUACERT, VRQC… Chứng nhận Tổ chức/Công ty ISO 17021:2011 ISO 9001:2015, ISO/IEC 27001:2013, … ISO 17021:2011
  • 80. KHÓ KHĂN KHI THỰC HIỆN Một số khó khăn điển hình tại một số tổ chức khi áp dụng thực hiện các Hệ thống Quản lý theo ISO: • Tổ chức chưa thấy hết vai trò quan trọng của hệ thống quản lý ISO và sự cần thiết áp dụng • Tâm lý không thích thay đổi. • Thiếu nhiệt tình, năng lực của cán bộ quản lý cấp trung gian; • Phối hợp giữa các bộ phận - kém; • Cách thức làm việc - Cũ; • Hạn chế về nguồn lực; • Xây dựng tài liệu không phù hợp; • Thiếu sự tham gia của Ban Lãnh đạo;
  • 81. Phụ thuộc vào: • Cam kết và hành động của lãnh đạo • Mức độ phức tạp của doanh nghiệp • Tình hình thực trạng của tổ chức • Năng lực cán bộ của tổ chức Hiện nay từ 05 - 08 tháng THỜI GIAN THỰC HIỆN
  • 82. ⦿ Global Data Service - GDS (VNPT) - NTT Communications (NTTCom) ⦿ Công viên Pha«n me«m Quang Trung ( QTSC); Datacenter Thư ̀ a thiên hue- …. ⦿ Công ty cō pha«n công nghệ Tinh Vân ; Datacenter Quảng Ninh, Datacenter Cà mau … ⦿ NCS Solutions ; RCS; EVN ICT; EVN Ho« Chı́ minh; Digi-texx - Việt nam; EVN EIC; EVN Bı̀nh phươ ́ c; ISB Vietnam; Công ty Minh Phúc (MP); TDT Software …. ⦿ Sơ ̉ Khoa Học Công Nghệ Đo«ng Nai , Sơ ̉ ke- hoạch đa«u tư Đo«ng Nai …. ⦿ VNEXT; Ominext; NTQ Solution; HDD Vietnam ; Orient; Evolable; GEM; ISOSH; Datacenter Baµc Ninh; Codelover; GDS; MTI; GEM Sofware; Livesup Sofwar; ReliaVietnam; Relia; Relipa; MTI Soft; Base.vn; ZALOPAY; MOR Sofware; VINICORP …. ⦿ Tập đoàn NTT ( Nhật bản) ; Luvina Sofware; Rikkei soft; Framgia; MTI Soft; Orient Soft; ⦿ Trung tâm Internet Việt nam ( VNNIC) – Bộ TTTT; Trung tâm VNCERT – Bộ TTTT; Trung tâm CNTT – BHXH Việt nam; Cục bưu điện Trung ương …. ⦿ EVN Mie«n Baµc, EVNICT; EVNEIC; Mua bán điện, Misa, Runsystem; GENCO3…. ⦿ CMC, IMT Software, VKX-VNPT, Vinahost, VNCERT; Truye«n thông 5 sao, ELCOM; VINASAT; VNPT-I, NISSHO; Sơ ̉ TTTT Hue-, FSI; EVNICT; Nhiệt điện Ca«n thơ, Nhiệt điện thái bı̀nh; Thủy điện Sơn la; Quảng trị; Trung Sơn; Ankhe – Kanak; Thủy điện Sông Bung; Tōng công ty EVN Genco1,2,3; A0, A1,2,3; Thủy điện Hòa bı̀nh; thủy điện Tuyên quang…. Khách hàng tiêu biểu
  • 83. QUẢN LÝ AN TOÀN THÔNG TIN LÀ VIỆC LÀM CỦA TẤT CẢ MỌI NGƯỜI !
  • 84. NỘI DUNG TRÌNH BÀY [1] [3] Tiêu chuẩn ISO/IEC 27001:2013 [2] Khái niệm và nguyên tắc ISMS [4] Các bước triển khai ISMS [5] Hỏi và đáp An toàn thông tin
  • 85. Một số quy định pháp luật • Nghị định 102/2009/NĐ-CP - về quản lý đầu tư ứng dụng CNTT sử dụng nguồn vốn ngân sách nhà nước • Nghị định Số: 72/2013/NĐ-CP-Quản lý, cung cấp, sử dụng dịch vụ internet và thông tin trên mạng • Nghị định 85/2016/NĐ-CP về bảo đảm an toàn hệ thống thông tin theo cấp độ • Thông tư 03/2017/TT-BTTTT quy định chi tiết và hướng dẫn một số điều của Nghị định 85/2016/NĐ-CP ngày 01/7/2016 của Chính phủ về bảo đảm an toàn hệ thống thông tin theo cấp độ • Quyết định 05/2017/QĐ-TTg - Ban hành quy định về hệ thống phương án ứng cứu khẩn cấp bảo đảm an toàn thông tin mạng quốc gia