CƠ SỞ LÝ LUẬN VỀ VẤN ĐỀ AN TOÀN BẢO MẬT THÔNG TIN.docx
BaiDaoTao Nhan Thuc_ISO/IEC 27001 va ISMS
1. ĐÀO TẠO NHẬN THỨC
HỆ THỐNG QUẢN LÝ AN TOÀN THÔNG TIN
theo TIÊU CHUẨN ISO/IEC 27001:2013
Ngày năm 2021
Người trình bày:
2. MỤC ĐÍCH:
Ø Đào tạo nhận thức về hệ thống quản lý an toàn
thông tin theo tiêu chuẩn ISO/IEC 27001:2013
ĐỐI TƯỢNG:
Ø Lãnh đạo
Ø Cán bộ quản lý
3. NỘI DUNG TRÌNH BÀY
[1]
[3] Tiêu chuẩn ISO/IEC 27001:2013
[2] Khái niệm và nguyên tắc ISMS
[4] Các bước triển khai ISMS
[5] Hỏi và Đáp
An toàn thông tin
4. • Định nghĩa thông thường: là thông báo tin,
“là điều được truyền đi, báo cho biết sự việc xảy ra, là tất cả
những gì mang lại hiểu biết cho người tiếp nhận”
Thông tin giúp làm tăng hiểu biết của con người, là nguồn
gốc của nhận thức và là cơ sở của quyết định.
• Định nghĩa theo ISO:
“Thông tin là dữ liệu có ý nghĩa”
Thông tin là gì?
6. • Các dạng thức:
– âm thanh, lời nói, hình ảnh, chữ
viết/con số/ký hiệu, ...
– kinh nghiệm, kiến thức, ý tưởng, sáng
chế, bí kíp, uy tín, thương hiệu
• Các lưu trữ điển hình:
– trên giấy, các vật liệu;
– phương tiện số/điện tử/quang (băng,
đĩa, USB, e-clouds);
– Các hệ thống xử lý thông tin; mạng;
kênh truyền tin;
– trong não bộ con người
Các dạng tồn tại của Thông tin
7. • Tạo mới
• Thu thập
• Xử lý (sao chép, sửa đổi; sắp xếp,
chọn lọc, phân tích, tổng hợp)
• Lưu trữ
• Truyền tải
• Bảo vệ
• Phá hủy
Các hành động đối với Thông tin
Các hành động đối với thông tin đều tiềm ẩn rủi ro
đến an toàn thông tin.
8. Tài sản Thông tin trong tổ chức
1. Thông tin về Chiến lược: các chiến lược, kế hoạch tổng thể, mục tiêu
2. Thông tin về Sản phẩm và dịch vụ
3. * Sở hữu trí tuệ/Bí mật thương mại: bản quyền, bí quyết, công nghệ, công
thức, thiết kế, quy trình ...; Tài liệu đào tạo; Phương tiện tiếp thị: poster,
video, bài trình bày
4. * Thông tin tài chính: tài khoản, báo cáo tài chính,
5. * Thông tin về Pháp lý & Tuân thủ
6. * Thông tin nhân sự
7. * Thông tin tiềm lực: quân số, lực lượng, kho tàng, dự trữ, dự phòng
8. Thông tin về Kế hoạch, Phương án dự kiến
9. Thông tin về Văn hóa của tổ chức
10. Thông tin vận hành: thông số vận hành sản xuất, phương thức ...
11. Thông tin hỗ trợ ra quyết định: công cụ, thông tin tổng hợp, phân tích data
12. Thông tin nội bộ: chỉ đạo, báo cáo, lịch hoạt động,
13. Thông tin về Dự án; Nghiên cứu & Phát triển
14. * Thông tin mật: các thông tin xác định là bí mật, tối mật, tuyệt mật
15. * Thông tin khách hàng
9. Thông tin là tài sản có giá trị của tổ chức
“Thông tin là một tài sản, giống như các tài sản nghiệp vụ quan trọng
khác, là điều cần thiết cho nghiệp vụ của tổ chức và do đó cần được
bảo vệ thích hợp.
Thông tin có thể được lưu trữ dưới nhiều hình thức, bao gồm: hình
thức kỹ thuật số (ví dụ như tập tin dữ liệu được lưu trữ trên phương
tiện lưu trữ điện tử hoặc quang học), hình thức vật chất (ví dụ như
trên giấy). Thông tin có thể được truyền bằng các phương tiện khác
nhau bao gồm: chuyển phát nhanh, giao tiếp điện tử hoặc bằng lời
nói.
Bất cứ hình thức mang thông tin nào hoặc các phương tiện mà thông
tin được truyền đi, thông tin luôn luôn cần được bảo vệ thích hợp.”
10. Nguy cơ đối với an toàn thông tin
• Các cuộc tấn công phá hoại, lừa đảo, gián điệp
• Các sai sót/chủ định xấu của con người
• Các lỗi công nghệ thiết bị
• Tác động của môi trường, tự nhiên: động đất, hỏa hoạn
• Các điểm yếu vốn có khi sử dụng thông tin
Thông tin và các tài sản chứa thông tin cần được bảo vệ
thích đáng
17. Theo đánh giá của Ban Cơ yếu Chính phủ năm 2020:
1. Tấn công mạng, đặc biệt là tấn công lây nhiễm mã độc sử
dụng trí tuệ nhân tạo (AI);
2. Tấn công mạng vào các hệ thống thương mại điện tử, tài
chính - ngân hàng... với mục tiêu tống tiền, đánh cắp
thông tin, dữ liệu của tổ chức, cá nhân;
3. Tấn công vào hạ tầng, thiết bị IoT, đô thị thông minh;
đồng thời lợi dụng các hạ tầng, thiết bị này đề thực hiện
tấn công mạng;
4. Tấn công mạng có chủ đích vào các cơ quan, tổ chức nhà
nước nhằm lấy cắp thông tin bí mật nhà nước;
5. Giả mạo các cơ quan, tổ chức, cá nhân để bôi nhọ, nói
xấu và phát tán thông tin độc hại trên mạng.
5 nguy cơ chính về An toàn thông tin ở VN
18. An toàn thông tin (ISO)
- Bảo mật (Confidentiality)
- Toàn vẹn (Intergrity)
- Sẵn sàng (Availability)
Tam giác an toàn thông tin
Information Security – An toàn thông tin
Đặc trưng của an toàn thông tin:
19. Bảo mật:
“Đặc tính thông tin không sẵn sàng cung
cấp hoặc không được tiết lộ cho các cá
nhân, thực thể hoặc các quá trình không
được phép” – ISO/IEC 27000
VD:
- Khóa kín, niêm phong thiết bị
- xác thực username + password/
phraseword hay sinh trắc
- Mã hóa thông tin bằng giao thức và
thuật toán mạnh
C
An toàn thông tin (ISO)
20. Toàn vẹn:
“Đặc tính về độ chính xác và đầy đủ” -
ISO/IEC 27000
Thông tin chỉ được phép xóa hoặc sửa
hợp lệ và phải đảm bảo rằng thông tin
vẫn chính xác khi được lưu trữ hay
truyền đi.
VD: - Thay đổi giao diện trang chủ của
một website.
- Chặn, thay đổi gói tin gửi qua mạng.
- Chỉnh sửa trái phép các file lưu trữ
I
An toàn thông tin (ISO)
21. Sẵn sàng:
“Đặc tính có thể truy cập và sử
dụng được theo yêu cầu của một
chủ thể được phép”
VD: - một server ngừng cung cấp
dịch vụ trong vòng 5 phút/năm
thì độ sẵn sàng là 99,999%.
- quản lý tốt mật khẩu, khoá
- sao lưu/dự phòng
A
An toàn thông tin (ISO)
22. Thế nào là An toàn thông tin?
An toàn thông tin
là bảo toàn C.I.A.
“Đảm bảo thông tin chính xác,
đầy đủ, sẵn có đúng lúc cho
những nhu cầu hợp lệ,
là đem lại hiệu quả cho tổ chức”
“An toàn thông tin liên quan đến việc áp dụng và quản lý các
biện pháp an ninh thích hợp có liên quan đến việc xem xét
các mối đe dọa, với mục tiêu đảm bảo kinh doanh bền vững
thành công, duy trì liên tục và giảm thiểu tác động của các sự
cố an toàn thông tin”.
23. An toàn thông tin không chỉ là IT
An toàn thông tin
An toàn công nghệ thông
tin & truyền thông
An ninh mạng
24. 1. Tài sản thông tin rất quan trọng và tồn tại nhiều nơi,
2. Luôn đối diện nguy cơ về an toàn (phá hoại, gián điệp, lừa đảo;
thiếu kiến thức, vô ý thức; hoả hoạn, bão lụt).
3. Các thiệt hại do mã độc, DoS, hacking, Ransomware... ngày
càng tăng tiến, phức tạp.
4. Việc chia sẻ thông tin khi kết nối giữa mạng chung và mạng
riêng, giữa tổ chức và các bên quan tâm làm khó khăn cho kiểm
soát truy cập và xử lý thông tin
5. Việc sử dụng thiết bị di động làm giảm hiệu lực kiểm soát
6. Không đưa ATTT vào khi thiết kế xây dựng các hệ thống sẽ khó
khăn và tốn kém về sau
Nhu cầu bảo vệ an toàn thông tin
Bảo vệ tài sản thông tin thông qua việc xác định, thực hiện, duy trì
và cải thiện hiệu quả an toàn thông tin là cần thiết, cho phép một
tổ chức đạt được mục tiêu của mình cũng như duy trì và nâng cao
hình ảnh và tính tuân thủ luật pháp của tổ chức.
25. Giải pháp đảm bảo ATTT
• Giải pháp cho vấn đề quản lý an toàn thông tin của một tổ chức
phải là toàn diện, có hệ thống và thích ứng kịp thời với tình
hình an ninh thông tin. Ngoài việc tuân thủ các quy định pháp
luật, cần có một hệ thống quản lý tiên tiến và khoa học để quản
lý an toàn thông tin
26. • an toàn thông tin (information security)
Là sự bảo toàn của việc bảo mật, toàn vẹn và tính sẵn có của thông tin
• Tính sẵn sàng (availability): Đặc tính có thể truy cập và sử dụng được theo
yêu cầu của một thực thể được phép
• Tính toàn vẹn (integrity): Đặc tính về độ chính xác và đầy đủ
• Tính bí mật (confidentiality): Đặc tính thông tin không sẵn sàng cung cấp hoặc
không được tiết lộ cho các cá nhân, thực thể hoặc các quá trình không được
phép.
• Tính tin cậy (reliability): Đặc tính của hành vi và kết quả trù định có tính nhất
quán.
• Tính xác thực (authenticity): Đặc tính mà một chủ thể là thứ đã được tuyên
bố.
• Chống chối bỏ (non-repudiation): Khả năng chứng minh sự xuất hiện của một
sự kiện hoặc hành động đã yêu cầu và các thực thể sinh ra chúng.
Thuật ngữ
27. • yêu cầu (requirement): nhu cầu hay mong đợi được tuyên bố, thường là ngụ ý
hay bắt buộc.
• sự phù hợp (conformity): sự thực hiện đầy đủ một yêu cầu.
• chính sách (policy): Mục đích và định hướng của một tổ chức được thể hiện chính
thức bởi ban quản lý cấp cao
• mục tiêu (objective): Kết quả cần đạt được
• quá trình (process): tập hợp các hoạt động có liên quan hoặc tương tác lẫn nhau
nhằm biến các đầu vào thành các đầu ra.
• quy trình (procedure): cách thức cụ thể để tiến hành một hoạt động hay quá
trình.
• mối đe dọa (threat): nguyên nhân tiềm ẩn có thể gây ra sự cố không mong muốn,
làm hại đến hệ thống hoặc tổ chức.
• lỗ hổng/điểm yếu (vulnerabilities): Là điểm yếu của tài sản/biện pháp kiểm
soát mà có thể bị lợi dụng bởi 1 hay nhiều mối đe dọa.
• rủi ro (risk): Tác động của sự không chắc chắn đến mục tiêu.
*Rủi ro an toàn thông tin có liên quan đến khả năng phát sinh mối đe dọa khai thác
điểm yếu của một tài sản thông tin hoặc một nhóm các tài sản thông tin và do đó gây
ra thiệt hại cho tổ chức.
• biện pháp kiểm soát (control): Biện pháp làm thay đổi rủi ro.
Thuật ngữ
28. NỘI DUNG TRÌNH BÀY
[1]
[3] Tiêu chuẩn ISO/IEC 27001:2013
[2] Khái niệm và nguyên tắc ISMS
[4] Các bước triển khai ISMS
[5] Hỏi và Đáp
An toàn thông tin
29. Khái niệm Quản lý của ISO
• Quản lý:
là các hoạt động chỉ đạo, kiểm soát và cải tiến liên tục tổ chức
trong cấu trúc thích hợp
Hoạt động quản lý bao gồm hành động, cách thức, hay thực hành
tổ chức, xử lý, chỉ đạo, giám sát và kiểm soát các nguồn tài nguyên
• Quản lý ATTT:
• Là việc giám sát và ra các quyết định cần thiết để đạt được
mục tiêu kinh doanh thông qua việc bảo vệ tài sản thông tin
của tổ chức;
• được thể hiện qua việc xây dựng và áp dụng các chính sách,
thủ tục, hướng dẫn an toàn thông tin và áp dụng trong toàn
bộ tổ chức bởi tất cả các cá nhân liên quan trong tổ chức.
30. Tiếp cận theo quá trình
• Các tổ chức cần phải xác định và quản lý nhiều hoạt động để
thực hiện chức năng hiệu quả và hữu hiệu.
• Mọi hoạt động có sử dụng tài nguyên cần phải được quản lý để
cho phép việc chuyển đổi đầu vào thành đầu ra sử dụng một
tập hợp các hoạt động có liên quan hay có tương tác. Đây được
xem như một quy trình. Kết quả của một quy trình có thể trực
tiếp tạo thành đầu vào cho quy trình khác và thường việc
chuyển đổi này được thực hiện trong điều kiện có kế hoạch và
có kiểm soát.
• Việc áp dụng một hệ thống các quy trình trong tổ chức, cùng
với sự nhận biết và tương tác giữa các quy trình và việc quản lý
chúng có thể được gọi là một "cách thức tiếp cận quy trình".
31. PDCA
Sử dụng chu trình PDCA (Edward Demming) để quản lý các Quá trình:
Lập
Kế hoạch
PLAN
- Đặt ra các mục tiêu của hệ thống,
- XD các quá trình, nguồn lực cần thiết để đạt các KQ
theo yêu cầu của kế hoạch, theo chính sách của TC.
- Nhận biết & giải quyết các rủi ro & cơ hội.
Thực hiện
DO
Thực hiện những gì đã lập Kế hoạch
Kiểm tra
CHECK
- Theo dõi và đo lường các quá trình & KQ so với các
chính sách, mục tiêu, yêu cầu & các hoạt động theo
kế hoạch.
- Báo cáo các KQ.
Hành động
Khắc phục
ACT
Thực hiện các hành động để cải tiến các KQ thực
hiện khi cần thiết.
32. Quá trình ISMS theo PDCA
Plan
Act
Do
Các bên
quan
tâm
ATTT
được
quản lý
Thực hiện
& Vận
hành ISMS
Thiết lập
ISMS
Duy trì và
Cải tiến
ISMS
Theo dõi &
Soát xét ISMS
Check
Trách nhiệm quản lý
Các
yêu cầu
về ATTT
Các bên
quan
tâm
Các bên
quan
tâm
Các
yêu cầu
về ATTT
Các bên
quan
tâm
33. Quản lý an toàn thông tin
• Thành phần cơ bản của quản lý an toàn thông tin: Các hoạt động
phối hợp định hướng cho việc:
- triển khai các biện pháp kiểm soát thích hợp,
- xử lý các rủi ro về an toàn thông tin
• Những rủi ro an toàn thông tin và hiệu quả của các biện pháp
kiểm soát luôn thay đổi phụ thuộc vào hoàn cảnh thay đổi, các tổ
chức cần phải:
1. giám sát và đánh giá hiệu quả của các biện pháp kiểm
soát và các thủ tục đã được triển khai;
2. xác định những rủi ro mới xuất hiện cần được xử lý;
3. lựa chọn, thực thi và cải thiện các biện pháp kiểm soát
thích hợp khi cần thiết.
• Tổ chức cần phải xây dựng chính sách và mục tiêu an toàn thông
tin của mình và đạt được những mục tiêu đó một cách hiệu quả
bằng cách sử dụng ISMS.
34. Hệ thống quản lý ATTT là gì?
• Một hệ thống quản lý sử dụng một cơ cấu các nguồn lực để đạt
được mục tiêu của tổ chức. Hệ thống quản lý bao gồm: cơ cấu,
chính sách, hoạt động lập kế hoạch, trách nhiệm, thực hành,
quy trình, quá trình và nguồn lực của tổ chức.
• Hệ thống quản lý an toàn thông tin cho phép một tổ chức thực thi:
a) đáp ứng các yêu cầu an toàn thông tin của khách hàng và các bên
liên quan khác;
b) cải tiến các kế hoạch và hoạt động của một tổ chức;
c) đáp ứng các mục tiêu an toàn thông tin của tổ chức;
d) tuân thủ các quy định, pháp luật và các yêu cầu bắt buộc của lĩnh
vực;
e) quản lý tài sản thông tin một cách có tổ chức tạo điều kiện cải
tiến liên tục và điều chỉnh các mục tiêu tổ chức hiện hành.
35. Hệ thống quản lý ATTT-ISMS
• Là hệ thống để quản lý việc bảo vệ
an toàn thông tin của tổ chức
• Là hệ thống quản lý:
“việc thiết lập, triển khai, duy trì,
vận hành, giám sát, xem xét và cải
tiến liên tục ATTT để đạt mục tiêu
công việc”
Information Security Management System - ISMS
• ISMS bao gồm các thành phần:
- cơ cấu tổ chức; - các chính sách; - quy hoạch;
- trách nhiệm; - quá trình; - quy trình
- thực hành/thông lệ, - các nguồn lực
36. Hệ thống quản lý ATTT-ISMS
1. ISMS là một cách tiếp cận có hệ thống để thiết lập, triển
khai, vận hành, giám sát, soát xét, duy trì và cải tiến an
toàn thông tin của tổ chức để đạt được mục tiêu nhiệm vụ.
2. Cách tiếp cận này dựa trên đánh giá rủi ro và mức chấp
nhận rủi ro được thiết kế để xử lý và quản lý rủi ro có hiệu
quả.
3. Việc phân tích các yêu cầu về bảo vệ tài sản thông tin và
áp dụng các biện pháp kiểm soát thích hợp để đảm bảo
việc bảo vệ các tài sản thông tin sẽ góp phần vào việc thực
hiện thành công một hệ thống ISMS.
37. ISMS quản lý những gì?
1. Bối cảnh của Tổ chức; 2. Lãnh đạo và Cam kết
3. Mục tiêu ATTT; 4. Chính sách ATTT
5. Vai trò, trách nhiệm và năng lực;
6. Quản lý rủi ro; 7. Giám sát hiệu suất & KPIs;
8. Tài liệu; 9. Trao đổi thông tin
10. Năng lực và Nhận thức; 11. Mối quan hệ với nhà cung cấp
12. Kiểm toán nội bộ; 13. Quản lý sự cố
14. Cải tiến liên tục; 15. Quản lý tài sản;
16. Quản lý truy cập; 17. Quản lý mã hóa;
18. An ninh vật lý và môi trường;
19. An ninh vận hành;20. An ninh truyền thông
21. An ninh trong tiếp nhận, phát triển và duy trì hệ thống
22. An ninh trong đảm bảo Kinh doanh liên tục
23. Quản lý tuân thủ; 24. Thiết bị di động và làm việc từ xa;
25. An ninh trong phát triển dự án
38. Nguyên tắc để thực hiện thành công ISMS
a) nhận thức về sự cần thiết của an toàn thông tin;
b) phân công trách nhiệm đảm bảo an toàn thông tin;
c) kết hợp cam kết quản lý và lợi ích của các bên liên quan;
d) nâng cao giá trị xã hội;
e) việc đánh giá rủi ro quyết định các biện pháp kiểm soát thích
hợp để đạt được mức độ chấp nhận rủi ro;
f) hợp tác về an ninh như một yếu tố thiết yếu của mạng lưới
thông tin và hệ thống;
g) Ngăn chặn và phát hiện một cách tích cực các sự cố an toàn
thông tin;
h) đảm bảo một cách tiếp cận toàn diện để quản lý an toàn thông
tin; và
i) đánh giá lại liên tục an toàn thông tin và thực hiện các sửa đổi
cho phù hợp.
39. Tại sao ISMS lại quan trọng ?
Việc áp dụng thành công một hệ thống ISMS là điều quan trọng
để bảo vệ tài sản thông tin cho phép một tổ chức:
1. đảm bảo rằng thông tin của mình được bảo vệ đầy đủ chống
lại các mối đe dọa liên tục;
2. duy trì một bộ khung toàn diện, có cấu trúc để xác định và
đánh giá rủi ro an toàn thông tin, lựa chọn và áp dụng các
biện pháp kiểm soát khả dụng, đo lường và cải thiện hiệu quả
của chúng;
3. liên tục cải thiện môi trường kiểm soát;
4. Đạt được tuân thủ pháp luật và các quy định một cách hiệu
quả.
40. 5 lợi ích cho tổ chức:
1. Tuân thủ (Luật định, chế định, hợp đồng)
2. đáp ứng các mục tiêu an toàn thông tin của tổ
chức; đáp ứng các yêu cầu an toàn thông tin
của khách hàng và các bên liên quan khác
3. Tăng tính cạnh tranh
4. Giảm chi phí.
5. Tổ chức tốt và hoạt động hiệu quả
Lợi ích của ISMS
Bảo vệ An toàn Thông tin
41. Thiết lập, giám sát, duy trì và cải tiến ISMS
1. Xác định tài sản thông tin và yêu cầu an toàn thông tin liên
quan;
2. Đánh giá rủi ro an toàn thông tin và
3. Xử lý rủi ro an toàn thông tin;
4. Lựa chọn và thực hiện các biện pháp kiểm soát liên quan đến
quản lý rủi ro không thể chấp nhận;
5. Giám sát, duy trì và nâng cao hiệu quả các biện pháp kiểm
soát tài sản thông tin của tổ chức.
6. thực hiện các bước (1) - (5) lặp đi lặp lại để xác định những
thay đổi trong rủi ro hoặc trong chiến lược của tổ chức, mục
tiêu kinh doanh, đảm bảo cải tiến liên tục
42. 1. Xác định các yêu cầu an toàn thông tin
Trong chiến lược kinh doanh và mục tiêu chung của tổ chức, quy mô
hoạt động, không gian địa lý, các yêu cầu an toàn thông tin có thể
được xác định thông qua:
a) tài sản thông tin xác định và giá trị của chúng;
b) nhu cầu kinh doanh/công việc để xử lý thông tin, lưu trữ và truyền
thông;
c) yêu cầu pháp lý, quy định và hợp đồng.
Việc thực hiện phương pháp đánh giá rủi ro gắn với tài sản thông tin
của một tổ chức liên quan đến thực hiện phân tích:
- các mối đe dọa đến tài sản thông tin,
- các điểm yếu và
- khả năng xảy ra mối đe dọa cụ thể tới các tài sản thông tin,
- tác động tiềm năng của bất kỳ sự cố an toàn thông tin nào về tài sản
thông tin.
Chi phí cho các biện pháp kiểm soát liên quan dự kiến sẽ tương ứng với
tác động kinh doanh được nhận thức của rủi ro hiện hữu..
43. 2. Đánh giá các rủi ro an toàn thông tin
Quản lý RR ATTT đòi hỏi phải đánh giá nguy cơ và có phương pháp xử lý RR thích
hợp, có thể bao gồm một dự toán chi phí và lợi ích, các yêu cầu pháp lý, mối quan
tâm của các bên liên quan, các đầu vào và các biến thích hợp khác.
Đánh giá RR cần xác định, định lượng và đặt mức ưu tiên cho các rủi ro theo các
tiêu chí chấp nhận RR và các mục tiêu có liên quan đến tổ chức. Kết quả sẽ hướng
dẫn và xác định hành động quản lý phù hợp và mức ưu tiên cho việc quản lý RR
ATTT và thực thi biện pháp kiểm soát đã lựa chọn để bảo vệ chống lại những RR.
Đánh giá RR phải bao gồm các phương pháp tiếp cận có hệ thống, ước tính mức
độ rủi ro (phân tích RR) và quy trình so sánh RR ước tính theo các tiêu chí RR để
xác định tầm quan trọng của RR (đánh giá RR).
Đánh giá RR phải được thực hiện định kỳ để giải quyết vấn đề thay đổi trong các
yêu cầu ATTT và trong tình huống RR, ví dụ như trong các tài sản, các mối đe dọa,
các điểm yếu, tác động, ước lượng RR và khi xảy ra những thay đổi đáng kể. Việc
đánh giá RR cần được thực hiện một cách có phương pháp, có khả năng cho ra
kết quả so sánh và tái tạo được kết quả.
Đánh giá RR ATTT nên có một phạm vi xác định rõ ràng để có hiệu quả và nên
bao gồm các mối quan hệ với đánh giá RR trong các lĩnh vực khác, nếu thích hợp.
44. Trước khi xem xét xử lý RR, tổ chức nên quyết định tiêu chí chấp nhận RR.
RR có thể được chấp nhận nếu nó được đánh giá là nguy cơ thấp hoặc chi
phí xử lý không hiệu quả. Quyết định này nên được ghi lại.
Đối với mỗi RR được xác định sau khi đánh giá RR, cần phải đưa ra một
quyết định xử lý RR. Tùy chọn có thể cho xử lý rủi ro bao gồm:
a) áp dụng các biện pháp kiểm soát thích hợp để giảm thiểu RR;
b) chấp nhận RR có chủ ý và khách quan, nếu chúng đáp ứng rõ ràng
chính sách và tiêu chí của tổ chức đặt ra về chấp nhận RR;
c) tránh RR bằng cách không cho phép những hành động có thể gây ra RR
xảy ra;
d) chia sẻ các RR liên quan đến các bên khác, ví dụ như công ty bảo hiểm
hoặc các nhà cung cấp.
Đối với những RR mà các quyết định xử lý RR đã chỉ định việc áp dụng các
biện pháp kiểm soát thích hợp, nên lựa chọn và thực hiện các biện pháp
kiểm soát này.
3. Xử lý các rủi ro an toàn thông tin
45. Các biện pháp kiểm soát phải đảm bảo rằng RR được giảm đến một mức
chấp nhận được có xem xét đến:
a) yêu cầu và hạn chế của pháp luật và quy định của quốc gia và quốc tế;
b) các mục tiêu tổ chức;
c) các yêu cầu và hạn chế trong hoạt động;
d) chi phí thực hiện và hoạt động liên quan đến rủi ro được giảm và còn
lại tỷ lệ thuận với các yêu cầu và hạn chế của tổ chức;
e) nên thực hiện giám sát, đánh giá và nâng cao hiệu quả và hiệu lực của
các biện pháp kiểm soát an toàn thông tin nhằm hỗ trợ mục tiêu của tổ
chức. Việc lựa chọn và thực hiện biện pháp kiểm soát nên được ghi
chép trong một tuyên bố áp dụng nhằm hỗ trợ các yêu cầu tuân thủ.
f) sự cần thiết để cân bằng đầu tư trong việc thực hiện và vận hành các
biện pháp kiểm soát với sự mất mát có thể là kết quả của sự cố ATTT.
4. Chọn lựa và triển khai các biện pháp kiểm soát
46. Một tổ chức cần duy trì và cải thiện hệ thống ISMS thông qua giám
sát và đánh giá năng lực về các chính sách và mục tiêu của tổ chức
và báo cáo kết quả với nhà quản lý để xem xét.
Việc soát xét ISMS này sẽ kiểm tra xem hệ thống ISMS có bao gồm
các biện pháp kiểm soát đặc thù thích hợp để xử lý rủi ro trong
phạm vi hệ thống ISMS hay không.
Ngoài ra, dựa trên các bản ghi về khu vực giám sát, sẽ có bằng
chứng thẩm tra và theo vết các hành động khắc phục, phòng ngừa
và cải thiện.
5. Giám sát, duy trì và cải thiện hiệu quả của ISMS
47. Mục đích của việc cải tiến liên tục một ISMS là để tăng khả năng đạt được các
mục tiêu liên quan tới duy trì tính bảo mật, tính sẵn sàng và tính toàn vẹn của
thông tin. Trọng tâm của việc CTLT là tìm kiếm cơ hội để cải tiến và không giả
định rằng các hoạt động quản lý hiện tại là đủ tốt hoặc tốt như hệ thống có thể.
Các hành động cải tiến bao gồm:
a) phân tích và đánh giá các tình huống hiện tại để xác định các vùng cần cải
tiến;
b) thiết lập các mục tiêu cải tiến;
c) tìm kiếm các giải pháp có thể để đạt được các mục tiêu;
d) đánh giá các giải pháp hiện tại và thực hiện một lựa chọn;
e) triển khai các giải pháp được lựa chọn;
f) đo lường, xác minh, phân tích và đánh giá các kết quả triển khai để xác định
rằng các mục tiêu đã được đáp ứng;
g) chính thức hóa các thay đổi;
Kết quả được soát xét là cần thiết để xác định các cơ hội để cải tiến. Bằng cách
này, cải tiến là một hoạt động liên tục, các hành động được lặp lại thường
xuyên. Phản hồi từ khách hàng và các bên quan tâm, đánh giá và soát xét hệ
thống quản lý ATTT cũng có thể được sử dụng để xác định các cơ hội cải tiến.
6. Cải tiến liên tục (CTLT)
48. QUẢN LÝ RỦI RO THEO ISO/IEC 27001
Đảm bảo tính kinh doanh liên tục và tuân thủ chế định và pháp định
Mục tiêu kiểm soát rủi ro – Phương pháp đánh giá rủi ro
Tài
sản
Thông tin
Phần
mềm
Hình ảnh
uy tín
Đối tác
Khách
hàng
Thầu phụ
Các
h.động
sản xuất
Dịch vụ
Vật lý
Con
người
Tiêu chí chấp nhận rủi ro
Những điểm
yếu
Mức rủi ro
(H,M,L)
Mối đe
dọa
Mất tính
bảo mật,
tính toàn
vẹn, tính
sẵn sàng
Nhận biết các mức độ bảo mật, giá trị của tất cả các tài sản
Kiếm
soát
xử lý
rủi ro
Các
hành
động
cải
tiến
giảm
rủi ro
Đo lường, đánh giá tính hiệu lực của các phương pháp kiểm soát
Phòng ngừa, giảm thiểu, chuyển giao, chấp nhận rủi ro
49. Quy trình quản lý Rủi ro ATTT
Thiết lập bối cảnh
Truyền
thông
và
tham
vấn
Giám
sát
và
xem
xét
Nhận diện rủi ro
Phân tích RR
Xử lý rủi ro
Định lượng RR
Đánh giá rủi ro
50. Quản lý Rủi ro (Risk Management) gồm 2 Quá trình:
– Đánh giá Rủi ro (Risk Assessment);
– Xử lý Rủi ro (Risk Treatment).
Quản lý Rủi ro cần xem xét:
– các Chi phí/Lợi ích;
– các yêu cầu pháp lý;
– các yêu cầu của các bên liên quan
Quản lý Rủi ro
51. Quản lý Rủi ro ATTT
Thiết lập bối cảnh:
• Xem xét các vấn đề liên quan
• Lập kế hoạch hành động để giải quyết RR/cơ hội
• Xác định phương pháp quản lý RR
• Xây dựng quá trình đánh giá RR:
1. Thiết lập Tiêu chí chấp nhận RR (Criteria for Risk Acceptance)
2. Thiết lập tiêu chí để đánh giá RR
52. Đánh giá Rủi ro ATTT
• Bước 1: Nhận diện RR: nhận diện các Mối nguy (Identify
Hazards)
• Bước 2: Phân tích Rủi ro (Analyse Risks):
1. Khả năng xảy ra (Likelihood) Hậu quả (Consequence);
2. Mức độ nghiêm trọng (Severity) của Hậu quả;
3. Phân cấp Rủi ro (Level of Risk)
• Bước 3: Đánh giá So sánh (Evaluate) Rủi ro với Tiêu chí chấp
nhận Rủi ro (Criteria for Risk Acceptance) đã được thiết lập.
53. Đánh giá Rủi ro ATTT
- Tần suất xuất hiện (Likelihood)
Mức độ RR = kết hợp
- Mức nghiêm trọng của Hậu quả
(Severity of Consequence)
Xác định Cấp Rủi ro ATTT để làm gì?
- Liệt kê
- Phân loại, xếp ưu tiên
- So sánh với tiêu chí chấp nhận RR
- Chọn Xử lý những RR mức cao;
54. Xử lý Rủi ro ATTT
• Tổ chức phải quyết định Tiêu chí Chấp nhận Rủi ro
(Acceptable Risk Criteria) trước khi cân nhắc Xử lý RR.
• Với mỗi Rủi ro, có 4 lựa chọn để xử lý:
a) Tránh để không xảy ra RR;
b) Áp dụng Kiểm soát để Giảm thiểu RR;
c) Chia sẻ RR (Bảo hiểm/thuê ngoài)
d) Chấp nhận RR, ;
• Việc lựa chọn các phương án cần cân nhắc Chi phí/Lợi ích.
57. Hệ thống quản lý ATTT
Quản lý rủi ro
Quản lý
An toàn thông tin
Công nghệ thông tin
An ninh mạng
Kinh doanh
liên tục
58. NỘI DUNG TRÌNH BÀY
[1]
[3] Tiêu chuẩn ISO/IEC 27001:2013
[2] Khái niệm và nguyên tắc ISMS
[4] Các bước thực hiện Hệ thống
[5] Hỏi và Đáp
An toàn thông tin
59. ISO là gì?
International Organization for Standardization
“Tổ chức Tiêu chuẩn hoá Quốc tế”
http://iso.org
60. ⦿ Tổ chức phi chính phủ, thành lập 1946,
⦿ Trụ sở tại Giơ-ne-vơ, Thụy Sĩ;
⦿ Là cơ quan xây dựng các tiêu chuẩn quốc tế, cung cấp
những tiêu chuẩn hiện đại cho tất cả các tổ chức.
⦿ ISO không chứng nhận đạt tiêu chuẩn
⦿ Các tài liệu ISO là có bản quyền và tính phí
⦿ Việt Nam là thành viên từ 1977
ISO là gì?
61. ⦿ Đảm bảo An toàn, Tin cậy, Chất lượng;
⦿ Là công cụ chiến lược, giúp giảm chi phí, giảm sản phẩm lỗi,
giảm sai sót và tăng năng suất;
⦿ Nâng cao uy tín, năng lực cạnh tranh của tổ chức;
⦿ Thúc đẩy thương mại toàn cầu Công bằng và Tự do.
Lợi ích áp dụng Tiêu chuẩn ISO
62. ⦿ ISO 9000 - Quản lý Chất lượng
⦿ ISO 14000 - Quản lý Môi trường
⦿ ISO 20000 - Quản lý Dịch vụ Thông tin
⦿ ISO/IEC 27000 - Quản lý An toàn thông tin
⦿ ISO 31000 - Quản lý Rủi ro
⦿ ISO 45000 - An toàn Sức khoẻ Nghề nghiệp
Các tiêu chuẩn ISO phổ biến
63. Thông qua sử dụng họ tiêu chuẩn ISMS, các tổ chức có thể xây
dựng và triển khai một bộ khung cho việc quản lý an toàn các
tài sản thông tin của họ, bao gồm các thông tin tài chính, sở
hữu trí tuệ, chi tiết về nhân sự, hoặc các thông tin đã được
các khách hàng hay bên thứ ba cung cấp.
Họ Tiêu chuẩn ISO/IEC 27000-ISMS
Là họ tiêu chuẩn về
Hệ thống quản lý an toàn thông tin - ISMS
Mục đích:
• Giúp các tổ chức: Xây dựng và triển khai một bộ khung
(framework) cho quản lý an toàn các tài sản thông tin
• Giúp đánh giá Hệ thống Quản lý An toàn thông tin - ISMS
của các tổ chức
64. Cấu trúc Bộ Tiêu chuẩn ISMS
27000
Tổng quan-Từ vựng
27001
Các yêu cầu
27006
Đánh giá - Chứng nhận
27002
Quy tắc thực hành
27003
Áp dụng
27004
Đo lường
27005
Quản lý rủi ro
27007
Kiểm soát
27008
Đánh giá Kiểm soát
27013
Tích hợp thực hiện
27014
Quản trị IS
27016
Kinh tế tổ chức
27010
inter
27011
HD cho 27002
27015
DV Tài chính
27017
2703x 2704x
2703x 2704x
Chuẩn Từ vựng
Chuẩn Yêu cầu
Chuẩn Hướng
dẫn
Chuẩn HD theo
ngành
Chuẩn HD theo
kiểm soát
65. Tiêu chuẩn ISO/IEC 27001:2013
• Là các yêu cầu cần tuân thủ trong việc xây dựng, triển
khai thực hiện, đảm bảo duy trì và cải tiến liên tục một
hệ thống an toàn thông tin của một tổ chức
• Là căn cứ để đánh giá chứng nhận đạt chuẩn
67. Lịch sử phát triển
67
ISO/IEC 27001:2005
ISO 17799: 2000
BS 7799 -1
1995
2000
1999
2002
2005
2013
ISO/IEC 27001:2013
ISO/IEC 27002:2005
BS 7799 -2:2002
BS 7799 -1:1999
BS 7799 -2:1999
68. Tiêu chuẩn ISO/IEC 27001:2013
Phụ lục Quy chuẩn
14 nội dung
35 mục tiêu
114 kiểm soát
ISO/IEC
27001:2013
Các yêu cầu
Các điều khoản 4-10
69. Cấu trúc các điều khoản chính
4. Bối cảnh của tổ chức
(Vấn đề bên trong bên ngoài, Yêu cầu của bên q/tâm, Xác định phạm vi ISMS)
7.
Hỗ
trợ
Các
Nguồn
lực,
Năng
lực,
Nhận
thức,
Trao
đổi
Thông
tin,
Th.tin
Văn
bản
hóa
9.
Đánh
giá
thực
hiện
Theo
dõi,
Đo
lường,
Phân
tích,
Đánh
giá
Đánh
giá
nội
bộ,
Xem
xét
của
lãnh
đạo
5. Vai trò Lãnh đạo
Lãnh đạo, Cam kết, Ch.sách, T.nhiệm, Quyền hạn
6. Hoạch định
Quản lý rủi ro; Mục tiêu ATTT & Kế hoạch
8. Vận hành
Kế hoạch vận hành và k.soát; Đánh giá, Xử lý RR
10. Cải tiến
Sự không PH & Hành động KP; Cải tiến liên tục
70. Các điều khoản ISO/IEC 27001:2013
4. Bối cảnh
của Tổ chức
4.1. Hiểu về tổ
chức bối cảnh
4.2. Hiểu về
nhu cầu và kỳ
vọng của các
bên liên quan
4.3. Xác định
phạm vi của
ISMS
4.4. ISMS
5. Sự lãnh
đạo
5.1. Cam kết
của lãnh đạo
5.2 Chính
sách ATTT
5.3. Vai trò,
quyền hạn và
trách nhiệm của
tổ chức
6. Hoạch
định
6.1. Hành độn
xử lý rủi ro và
các cơ hội
6.2. Mục tiêu
và kế hoạch
về ATTT
7. Hỗ trợ
7.1. Cung cấp
nguồn lực
7.2. Năng lực
7.3. Nhận
thức
7.4. Trao đổi
thông tin
7.5. Yêu cầu
về tài liệu
8. Vận hành
8.1. Lập kế
hoạch điều
hành và kiểm
soát
8.2. Đánh giá
rủi ro ATTT
8.3. Xử lý rủi
ro về ATTT
9. Đánh giá
kết quả
9.1. Giám sát,
đo lường,
phân tích và
đánh giá
9.2. Đánh giá
nội bộ
9.3. Xem xét
lãnh đạo
10. Cải tiến
10.1 Sự
KPH và
Hành động
khắc phục
10.2. Cải
tiến liên tục
71. Phụ lục Tiêu chuẩn ISO/IEC 27001:2013
A.5 Chính sách ATTT
A.12 An toàn Vận hành
A.7 An toàn nguồn nhân lực
A.8 Quản lý tài sản
A.9 Kiểm soát truy cập
A.11 An toàn vật lý và
môi trường
A.15 Quan hệ với
nhà cung cấp
A.14 Tiếp nhận, phát
triển và duy trì hệ thống
A.13 An toàn Trao đổi Thông tin
A.10 Mã hóa
A.6 Tổ chức ATTT
A.17 ATTT trong quản
lý hoạt động liên tục
A.18 Sự phù hợp
A.16 Quản lý sự cố
ATTT ISMS
Kiểm soát
1
3
5
9
7
8
2
6
4
10
11
14
12
13
72. NỘI DUNG TRÌNH BÀY
[1]
[3] Tiêu chuẩn ISO/IEC 27001:2013
[2] Khái niệm và nguyên tắc ISMS
[4] Các bước triển khai ISMS
[5] Hỏi và Đáp
An toàn thông tin
73. 1. Khởi động, Cam kết Triển khai QMS/ISMS;
2. Xác định các Yêu cầu Luật định, Chế định,
Hợp đồng liên quan QMS/ISMS;
3. Xác định Phạm vi, Ranh giới QMS/ISMS;
CÁC BƯỚC TRIỂN KHAI ISO 27001
Hệ thống
Quản lý
Chất lượng, ANTT
(QMS, ISMS)
phù hợp
Yêu cầu
tiêu chuẩn
ISO 9001:2015,
ISO/IEC 27001:2013
4. Xác định Hệ thống QMS/ISMS bao gồm
các Quá trình;
5. Xác định Tài sản TT và Giá trị Tài sản;
6. Nhận biết Rủi ro, Phân tích Rủi ro, Đánh
giá so sánh Rủi ro, Lựa chọn Phương án
Xử lý Rủi ro/Kiểm soát Rủi ro;
7. Thiết lập các Chính sách, Mục tiêu Chất
lượng/ANTT;
74. 8. Xây dựng, Ban hành hệ thống Tài liệu,
theo Yêu cầu của ISO 9001/27001 và
Tổ chức (CS, MT, SoA, Kế hoạch Xử lý
Rủi ro, Qui định, Qui trình/Biểu mẫu);
9. Vận hành QMS/ISMS, Ghi Hồ sơ;
10. Theo dõi, Soát xét, Duy trì, Cải tiến
QMS/ISMS.
Hệ thống
Quản lý
Chất lượng, ANTT
(QMS, ISMS)
phù hợp
Yêu cầu
tiêu chuẩn
ISO 9001:2015,
ISO/IEC 27001:2013
11. Đánh giá Nội bộ (Internal Audit);
12. Họp Xem xét của Lãnh đạo;
13. Khắc phục điểm Không Phù hợp (KPH);
14. Đào tạo Đánh giá viên Nội bộ;
15. Ban hành Chứng chỉ Đánh giá viên Nội bộ;
CÁC BƯỚC TRIỂN KHAI ISO 9001, 27001
75. Hệ thống
Quản lý
Chất lượng, ANTT
(QMS, ISMS)
phù hợp
Yêu cầu
tiêu chuẩn
ISO 9001:2015,
ISO/IEC 27001:2013
16. Đánh giá Nội bộ lần 2;
17. Họp xem xét của Lãnh đạo;
18. Khắc phục điểm Không phù hợp;
19. Đánh giá Chứng nhận thử (Pre Audit);
20. Khắc phục điểm Không phù hợp;
21. Đánh giá Chứng nhận (Main Audit);
22. Khắc phục điểm Không phù hợp;
23. Nộp Hồ sơ, Nhận Chứng chỉ;
24. Đánh giá Giám sát (Surveillance Audit);
25. Đánh giá Chứng nhận lại
(Re-Certification Audit).
CÁC BƯỚC TRIỂN KHAI ISO 27001
76. Tham khảo: CÁC BƯỚC THỰC HIỆN ISO 27001
I. GIAI ĐOẠN 1: THIẾT KẾ HỆ THỐNG VÀ CHUẨN BỊ NGUỒN LỰC
1. Lập kế hoạch xây dựng hệ thống quản lý ATTT ( tư vấn
thành lập, hướng dẫn hoạt động)
2. Khảo sát, đánh giá tình hình thực trạng so với yêu cầu
của tiêu chuẩn ISO/IEC 27001:2013
2.1 Khảo sát đánh giá thực trạng
2.2 Lập báo cáo đánh giá thực trạng
2.3 Thiết kế, xây dựng Hệ thống quản lý ATTT
3. Đào tạo nhận thức về ISO/IEC 27001:2013
4. Đào tạo cách thức viết văn bản và cách thức kiểm soát
tài liệu
- Quyết định thành lập Ban chỉ đạo ATTT;
- Báo cáo khảo sát
- Dự thảo Hệ thống văn bản quản lý ATTT
- Buổi đào tạo: Các cán bộ nắm bắt được các yêu cầu
tiêu chuẩn ISO/IEC 27001:2013 và việc tích hợp với các
quy định của Pháp luật và các văn bản quy định về an
toàn bảo mật thông tin, cách thức kiểm soát tài liệu và
xây dựng văn bản
II. GIAI ĐOẠN 2: XÂY DỰNG HỆ THỐNG QUẢN LÝ ATTT
1. Xây dựng hệ thống văn bản quản lý ATTT.
2. Xây dựng Chính sách ATTT, mục tiêu, chỉ tiêu ATTT
Xây dựng tài liệu quản lý tài sản và đánh giá rủi ro theo
hệ thống ATTT yêu cầu
3. Xây dựng kế hoạch hành động thực hiện mục tiêu
ATTT
4. Xây dựng các thủ tục quy trình, kế hoạch kiểm soát
ATTT, các hướng dẫn và biểu mẫu của các phụ lục
5. Lập sổ tay ATTT và SoA
- Các thủ tục quy trình và hướng dẫn quản lý ATTT;
- Các bộ phận liên quan tham gia xây dựng hiểu được
cách xây dựng/ cách thức thực hiện quy trình, kế hoạch
ATTT; hướng dẫn/ cách thức cập nhật biểu mẫu.
- Các thủ tục ATTT sẽ được tư vấn hướng dẫn và xây
dựng bao gồm: Các tài liệu được tư vấn tiến hành và
báo cáo trong báo cáo khảo sát và phải đảm bảo đáp
ứng được các yêu cầu tiêu chuẩn ISO/IEC 27001:2013;
- Đối với quy định vận hành theo các yêu cầu pháp luật
và yêu cầu của hợp đồng bên tư vấn sẽ triển khai đánh
giá mức độ phù hợp của các yêu cầu văn bản luật cũng
như các yêu khác
- Ban hành và phân phối các tài liệu.
77. CÁC BƯỚC THỰC HIỆN ISO 27001
III. GIAI ĐOẠN 3: TRIỂN KHAI THỰC HIỆN
1. Hướng dẫn áp dụng thử, chỉnh sửa và chính thức ban hành tài
liệu
2. Hướng dẫn triển khai khi áp dụng, theo dõi, giám sát hoạt động
hệ thống quản lý ATTT
3. Đào tạo chuyên gia đánh giá nội bộ
- Triển khai thức hiện hệ thống quản lý ATTT;
- Ban chỉ đạo nắm được cách thức chỉ đạo, đôn đốc và kiểm tra
việc thực hiện của các bộ phận;
- Các bộ phận tuân thủ việc thực hiện, các hồ sơ được lập đầy đủ.
- Việc thực hiện và cập nhật hồ sơ nhằm kiểm soát được các yêu
cầu về ATTT theo tiêu chuẩn ISO/IEC 27001:2013, Luật CNTT,
Luật ATTT và các quy định an toàn bảo mật thông tin như quy
định tại mục 3.1 và 3.2 danh mục các yêu cầu luật định và quy
định khác nhằm đảm bảo mức độ thực hiện một cách thuận lợi
IV. GIAI ĐOẠN 4: TỔ CHỨC ĐÁNH GIÁ VÀ HOÀN THIỆN HỆ THỐNG
1. Đánh giá chất lượng nội bộ, lập báo cáo đánh giá nội bộ
2. Họp xem xét của lãnh đạo
3. Hướng dẫn khắc phục các điểm không phù hợp
- Thông báo đánh giá và chương trình đánh giá cụ thể cho từng
phòng ban bộ phận, từng thời điểm;
- Kết quả đánh giá sẽ được lập báo cáo đánh giá nội bộ xác định
các điểm không phù hợp cần khắc phục và cải tiến theo yêu cầu
ISO/IEC 27001:2013.
- Khắc phục triệt để các điểm không phù hợp được phát hiện
- Họp xem xét của lãnh đạo
V. GIAI ĐOẠN 5: CHỨNG NHẬN HỆ THỐNG
1. Đăng ký chứng nhận
2. Rà soát lại các tài liệu hồ sơ của hệ thống quản lý ATTT
3. Đánh giá thử hệ thống quản lý ATTT
4. Hướng dẫn khắc phục các điểm sau đánh giá thử (nếu có)
5. Đánh giá chứng nhận Hệ thống quản lý ATTT cho
6. Hướng dẫn khắc phục các điểm sau đánh giá chứng nhận (nếu có)
7. Hướng dẫn các thủ tục, phạm vi công việc liên quan khác (theo kế
hoạch chi tiết của Đơn vị tư vấn) được Tổ chức chứng nhận cấp
chứng chỉ ISO/IEC 27001:2013
8. Hỗ trợ về các thủ tục, giấy tờ liên quan trong quá trình tư vấn,
chứng nhận để nghiệm thu
- Các hồ sơ làm việc với TCCN được phê duyệt;
- Thống nhất kế hoạch đánh giá tại các giai đoạn.
- Báo cáo đánh giá của Tổ chức chứng nhận (TCCN);
- Khắc phục triệt để các điểm không phù hợp được phát hiện
- Hoàn tất hồ sơ khắc phục và chuyển cho Tổ chức chứng
nhận.
- Tổ chức chứng nhận cấp Chứng chỉ ISO/ IEC 27001:2013
78. CHỨNG CHỈ ISO
• Không phải là giấy chứng nhận cho sản
phẩm/dịch vụ;
• Có giá trị trong 03 năm;
• Định kỳ sẽ có giám sát;
• Sẽ bị thu hồi chứng chỉ nếu không duy trì.
79. HỆ THỐNG ĐÁNH GIÁ SỰ PHÙ HỢP
Cơ quan Công nhận
UKAS (RAB, RVA, VICAS)
Công nhận
Tổ chức Chứng nhận
D.A.S, QUACERT, VRQC…
Chứng nhận
Tổ chức/Công ty
ISO 17021:2011
ISO 9001:2015,
ISO/IEC 27001:2013, …
ISO 17021:2011
80. KHÓ KHĂN KHI THỰC HIỆN
Một số khó khăn điển hình tại một số tổ chức khi áp dụng
thực hiện các Hệ thống Quản lý theo ISO:
• Tổ chức chưa thấy hết vai trò quan trọng của hệ thống quản
lý ISO và sự cần thiết áp dụng
• Tâm lý không thích thay đổi.
• Thiếu nhiệt tình, năng lực của cán bộ quản lý cấp trung gian;
• Phối hợp giữa các bộ phận - kém;
• Cách thức làm việc - Cũ;
• Hạn chế về nguồn lực;
• Xây dựng tài liệu không phù hợp;
• Thiếu sự tham gia của Ban Lãnh đạo;
81. Phụ thuộc vào:
• Cam kết và hành động của lãnh đạo
• Mức độ phức tạp của doanh nghiệp
• Tình hình thực trạng của tổ chức
• Năng lực cán bộ của tổ chức
Hiện nay từ 05 - 08 tháng
THỜI GIAN THỰC HIỆN
82. ⦿ Global Data Service - GDS (VNPT) - NTT Communications (NTTCom)
⦿ Công viên Pha«n me«m Quang Trung ( QTSC); Datacenter Thư
̀ a thiên hue- ….
⦿ Công ty cō pha«n công nghệ Tinh Vân ; Datacenter Quảng Ninh, Datacenter Cà mau …
⦿ NCS Solutions ; RCS; EVN ICT; EVN Ho« Chı́ minh; Digi-texx - Việt nam; EVN EIC; EVN Bı̀nh
phươ
́ c; ISB Vietnam; Công ty Minh Phúc (MP); TDT Software ….
⦿ Sơ
̉ Khoa Học Công Nghệ Đo«ng Nai , Sơ
̉ ke- hoạch đa«u tư Đo«ng Nai ….
⦿ VNEXT; Ominext; NTQ Solution; HDD Vietnam ; Orient; Evolable; GEM; ISOSH; Datacenter
Baµc Ninh; Codelover; GDS; MTI; GEM Sofware; Livesup Sofwar; ReliaVietnam; Relia;
Relipa; MTI Soft; Base.vn; ZALOPAY; MOR Sofware; VINICORP ….
⦿ Tập đoàn NTT ( Nhật bản) ; Luvina Sofware; Rikkei soft; Framgia; MTI Soft; Orient Soft;
⦿ Trung tâm Internet Việt nam ( VNNIC) – Bộ TTTT; Trung tâm VNCERT – Bộ TTTT; Trung
tâm CNTT – BHXH Việt nam; Cục bưu điện Trung ương ….
⦿ EVN Mie«n Baµc, EVNICT; EVNEIC; Mua bán điện, Misa, Runsystem; GENCO3….
⦿ CMC, IMT Software, VKX-VNPT, Vinahost, VNCERT; Truye«n thông 5 sao, ELCOM; VINASAT;
VNPT-I, NISSHO; Sơ
̉ TTTT Hue-, FSI; EVNICT; Nhiệt điện Ca«n thơ, Nhiệt điện thái bı̀nh;
Thủy điện Sơn la; Quảng trị; Trung Sơn; Ankhe – Kanak; Thủy điện Sông Bung; Tōng công
ty EVN Genco1,2,3; A0, A1,2,3; Thủy điện Hòa bı̀nh; thủy điện Tuyên quang….
Khách hàng tiêu biểu
83. QUẢN LÝ AN TOÀN THÔNG TIN
LÀ VIỆC LÀM CỦA TẤT CẢ MỌI NGƯỜI !
84. NỘI DUNG TRÌNH BÀY
[1]
[3] Tiêu chuẩn ISO/IEC 27001:2013
[2] Khái niệm và nguyên tắc ISMS
[4] Các bước triển khai ISMS
[5] Hỏi và đáp
An toàn thông tin
85. Một số quy định pháp luật
• Nghị định 102/2009/NĐ-CP - về quản lý đầu tư ứng dụng
CNTT sử dụng nguồn vốn ngân sách nhà nước
• Nghị định Số: 72/2013/NĐ-CP-Quản lý, cung cấp, sử
dụng dịch vụ internet và thông tin trên mạng
• Nghị định 85/2016/NĐ-CP về bảo đảm an toàn hệ thống
thông tin theo cấp độ
• Thông tư 03/2017/TT-BTTTT quy định chi tiết và hướng
dẫn một số điều của Nghị định 85/2016/NĐ-CP ngày
01/7/2016 của Chính phủ về bảo đảm an toàn hệ thống
thông tin theo cấp độ
• Quyết định 05/2017/QĐ-TTg - Ban hành quy định về hệ
thống phương án ứng cứu khẩn cấp bảo đảm an toàn
thông tin mạng quốc gia