Xem mẫu
- ANTT dưới góc độ quản lý hệ thống
phù hợp tiêu chuẩn ISO/IEC 27001:2005
Yêu cầu tiêu chuẩn ISO/IEC27001:2005
Thiết lập, áp dụng, duy trì và cải tiến HTQL ANTT
Giấy chứng nhận toàn cầu ISO/IEC 27001:2005
Những vấn đề cần quan tâm khi xây dựng ISMS
1 D.A.S Vietnam Certification Ltd.
- Quá trình hình thành yêu cầu tiêu chuẩn
ISO/IEC 27001:2005
2005
2002
2003
1995
BS 7799 - 2
2000
2000
BS 7799 - 1
ISO 17799: 2000
1999
BS 7799 - 2
2 D.A.S Vietnam Certification Ltd.
- Bộ tiêu chuẩn ISO/IEC 27000
ISO/IEC
27001:2005
Các yêu cầu ISO/IEC
ISO/IEC
27000:2009 27002:2005
Các nguyên tắc Mã Thực hành
và từ vựng ISMS
ISO/IEC Bộ tiêu chuẩn ISO/IEC
27006:2007 27003:2010
Dành cho các
ISO/IEC 27000
Hướng dẫn áp
TC đánh giá và
dụng ISMS
chứng nhận
ISO/IEC
ISO/IEC
27005:2007 27004:2007
Quản lý rủi ro
Đo lường ISMS
ISMS
3 D.A.S Vietnam Certification Ltd.
- ISO/IEC 27001:2005 – CÁC YÊU CẦU
(theo cấu trúc tiêu chuẩn)
4. Hệ thống 5. Trách nhiệm 6 Đánh giá 7 Xem xét 8. Cải tiến
quản lý an ninh của lãnh đạo nội bộ ISMS lãnh đạo ISMS
thông tin ISMS
5.1. Cam kết 8.1. Cải tiến
4.1. Yêu cầu của lãnh đạo 7.1. Khái quát
thường xuyên
chung
5.2 Quản lý 7.2. Đầu vào 8.2. Hành động
nguồn lực của xem xét khắc phục
4.2. Thiết lập và
quản lý ISMS 8.3. Hành động
7.3. Đầu ra
phòng ngừa
của xem xét
4.3. Các yêu cầu về
tài liệu
4 D.A.S Vietnam Certification Ltd.
- 11 mục tiêu kiểm soát và các kiểm soát
Chính sách an ninh
Tuân thủ 1 An ninh thông tin của tổ chức
11 2
Quản lý tính liên tục Quản lý tài sản
trong kinh doanh 10 3
10
An ninh nguồn nhân
ISMS
Quản lý sự cố an 4 lực
Kiểm soát
ninh thông tin 9
5 An ninh vật lý và môi
trường
Duy trì và phát triển các C
8
hệ thống 6 Quản lý các tác nghiệp và truyền
E
7 thông
Kiểm soát truy cập
5 D.A.S Vietnam Certification Ltd.
- Mô hình PDCA áp dụng để kiến trúc nên mọi
mọi quá trình ISMS
PLAN
Các bên Các bên
quan quan
tâm Thiết lập ISMS tâm
Áp dụng và Duy trì và ACT
DO cải tiến ISMS
vận hành ISMS
Các yêu An ninh
cầu và thông
mong Giám sát và tin được
đợi về xem xét ISMS quản lý
ISMS CHECK
6 D.A.S Vietnam Certification Ltd.
- QUẢN LÝ RỦI RO – vấn đề trọng tâm khi tiếp cận ISMS
Đảm bảo tính kinh doanh liên tục và tuân thủ chế định và pháp định
Mục tiêu kiểm soát rủi ro – Phương pháp đánh giá rủi ro
Nhận biết các mức độ bảo mật, giá trị của tất cả các tài sản
Rủi ro về sở Thông tin Những
điểm yếu Các
hữu tài sản
hành
Con người Phần mềm
động
Kiếm
cải
soát
tiến
xử lý
Tài sản giảm
rủi ro
Hình ảnh rủi ro
Vật lý
uy tín
Mất độ tin
cậy,
Các mối đe Các h.động Đối tác
tính toàn
dọa sản xuất Khách hàng vẹn,
Dịch vụ Thầu phụ tính sẵn
sàng
Tiêu chí chấp nhận rủi ro
Đo lường, đánh giá tính hiệu lực của các phương pháp kiểm soát
Nhận biết những rủi ro còn sót lại
7 D.A.S Vietnam Certification Ltd.
- AN NINH THÔNG TIN
Đo lường mức độ rủi ro đối với Tài sản thông tin
(dữ liệu thông tin dưới dạng bản cứng, bản mềm, giao tiếp… )
PLAN
Tổ Xây dựng các mục tiêu Tổ
chức kiểm soát an ninh TT chức
Khách • Mức độ bảo mật giá trị tài sản thông tin Khách
hàng nhằm giảm rủi ro trong phạm vi áp dụng hàng
và SOA
Nhà Nhà
cung cung
cấp DO ACT cấp
Thực hiện các biện pháp Duy trì và cải tiến an ninh
Các thông tin Các
bên kiểm soát an ninh TT Thông bên
• Các quyết sách cải tiến để giảm thiểu rủi
quan • Xác định mức độ đe dọa/ rủi ro tới tài sản tin ro quan
(rất cao, cao, trung bình, thấp..).
tâm • Điểm yếu dễ bị tấn công
Sẵn sàng • Mục tiêu an ninh tâm
•Hệ thống tài liệu (thủ tục, quy đinh..), hồ sơ
• Thực hiện kiểm soát an ninh dữ liệu, kiểm
• Hạ tầng kỹ thuật (camera quan sát, server,
soát rủi ro theo mục tiêu và kế hoạch xử lý
cáp, máy móc… )
rủi ro đã đặt ra
• Con người
Các yêu An
cầu và CHECK ninh
mong Giám sát và xem xét kiểm thông
đợi về soát an ninh thông tin tin
ISMS • Báo cáo đánh giá rủi ro được
•Đánh giá và đo lường các biện pháp kiểm
soát rủi ro quản lý
• Nhận biết và chấp nhận những rủi ro còn
sót lại.
8 D.A.S Vietnam Certification Ltd.
- AN NINH THÔNG TIN
Kiểm soát rủi ro và cách thức xử lý rủi ro đối với tài sản thông tin
1. Nhận biết và kiếm soát tài
1. Nhận
biết và
2. Kiểm sản dữ liệu bản mềm
soát các
Kiểm soát
biên liên Dữ liệu:
tài sản dữ
quan đến
liệu bản
dữ liệu
mềm - trong quá trình xử lý Îphân quyền
truy cập, quyền thiết lập, xem, phê
duyệt…
- trong quá trình trao đổi Î áp
3. Kiểm dụng các phương pháp mã hóa dữ
6. Quản lý
soát môi
hoạt động liệu được công bố và thừa nhận
trường vật
và truyền
Dữ liệu lý lưu trữ
thông
dữ liệu - lưu trữ Î định kỳ backup, kiểm
Bản mềm
soát tính toàn vẹn, bảo mật và sẵn
Sẵn sàng sàng
----
5. Kiểm 4. Kiểm
soát rủi ro soát rủi ro
liên quan liên quan
đến con đến các
người phần mềm
9 D.A.S Vietnam Certification Ltd.
- AN NINH THÔNG TIN
Kiểm soát rủi ro và cách thức xử lý rủi ro đối với tài sản thông tin
1. Nhận 2. Kiểm soát các bên liên
2. Kiểm
biết và
soát các quan đến dữ liệu
Kiểm soát
biên liên
tài sản dữ
quan đến
liệu bản - Tổ chức Î kiểm soát theo các mục
dữ liệu
mềm tiêu kiểm soát Tổ chức đã đặt ra…
- Nhà cung cấp (dịch vụ đường
truyền, host….) Î quy định và kiểm
3. Kiểm
soát việc thực hiện các cam kết bảo
6. Quản lý mật theo yêu cầu của Tổ chức….
soát môi
hoạt động
trường vật
và truyền
Dữ liệu lý lưu trữ - Khách hàng Î thống nhất hình
thông
Bản mềm dữ liệu thức bảo mật dữ liệu (các quy định
bảo mật trong quá trình giao dịch,
Sẵn sàng
việc mã hóa dữ liệu…)
----
5. Kiểm 4. Kiểm
soát rủi ro soát rủi ro
liên quan liên quan
đến con đến các
người phần mềm
10 D.A.S Vietnam Certification Ltd.
- AN NINH THÔNG TIN
Kiểm soát rủi ro và cách thức xử lý rủi ro đối với tài sản thông tin
1. Nhận 3. Kiểm soát các rủi ro liên
2. Kiểm
biết và
soát các quan đến môi trường vật lý
Kiểm soát
tài sản dữ
biên liên lưu trữ dữ liệu
quan đến
liệu bản - PC, Laptop Îtrách nhiệm với tài
dữ liệu
mềm sản, quyền truy cập, …
- Host Î vị trí phòng và điều kiện
phòng Host, kiểm soát ra vào,
3. Kiểm camera quan sát, login, hồ sơ tình
6. Quản lý soát các trạng hoạt động, phương án đối phó
hoạt động rủi ro đên với tình huống khẩn cấp (mất điện,
và truyền môi
thông
Dữ liệu trường vật
hacker…)
Bản mềm lý lưu trữ
- Khu vực các máy tính Î sơ đồ bố
Sẵn sàng
trí khu vực đặt máy, các vành đai an
ninh bảo vệ
5. Kiểm 4. Kiểm
soát rủi ro soát rủi ro -Thiên tai, hỏa hoạn, lũ lụt Î báo
liên quan liên quan cáo của các cơ quan chức năng,
đến con đến các phương án đối phó với tình huống
người phần mềm khẩn cấp..
- ---
11 D.A.S Vietnam Certification Ltd.
- AN NINH THÔNG TIN
Kiểm soát rủi ro và cách thức xử lý rủi ro đối với tài sản thông tin
1. Nhận 4. Kiểm soát rủi ro liên quan
2. Kiểm
biết và
soát các đến các phần mềm
Kiểm soát
biên liên
tài sản dữ
quan đến
- chương trình phần mềm ứng dụng
liệu bản Î có bản quyền,
dữ liệu
mềm
- Network Î xây dựng các vành đai
an ninh (firewall, giới hạn truy cập
các trang web có rủi ro cao, các
3. Kiểm
biện pháp kỹ thuật khác…
6. Quản lý
soát môi
hoạt động
trường vật
và truyền
thông
Dữ liệu lý lưu trữ
Bản mềm dữ liệu
Sẵn sàng
5. Kiểm 4. Kiểm
soát rủi ro soát rủi ro
liên quan liên quan
đến con đến các
người phần mềm
12 D.A.S Vietnam Certification Ltd.
- AN NINH THÔNG TIN
Kiểm soát rủi ro và cách thức xử lý rủi ro đối với tài sản thông tin
1. Nhận 5. Kiểm soát rủi ro liên quan
2. Kiểm
biết và
soát các đến con người
Kiểm soát
biên liên
tài sản dữ
quan đến
Tiếp cận dữ liệu, phần mềm ứng
liệu bản dụng Î phân quyền truy cập, quyền
dữ liệu
mềm phê duyệt, chỉnh sửa, sao chép dữ
liệu.... Xác định những cá nhân có
mức độ rủi ro cao đưa ra các biện
pháp kiểm soát
3. Kiểm
6. Quản lý
soát môi - nhận thức về bảo mật thông tin Î
hoạt động đào tạo, giáo dục nhận thức về
trường vật
và truyền
thông
Dữ liệu lý lưu trữ chính sách bảo mật và các nguyên
Bản mềm dữ liệu tắc bảo mật, nhận biết những rủi ro
Sẵn sàng - tuân thủ các nguyên tắc bảo mật
Î hợp đồng và cam kết bảo mật
5. Kiểm 4. Kiểm thông tin đối với các cá nhân (đặc
soát rủi ro soát rủi ro biệt đối với cá nhân có mức độ rủi
liên quan liên quan ro , định kỳ và đột xuất kiểm tra việc
đến con đến các tuân thủ các nguyên tắc bảo mật…
người phần mềm
----
13 D.A.S Vietnam Certification Ltd.
- AN NINH THÔNG TIN
Đo lường mức độ rủi ro và cách thức xử lý rủi ro đối với tài sản TT
PLAN
Tổ Xây dựng các mục tiêu Tổ
chức kiểm soát an ninh TT chức
Khách • Mức độ bảo mật giá trị tài sản thông tin Khách
hàng nhằm giảm rủi ro trong phạm vi áp dụng hàng
và SOA
Nhà Nhà
cung cung
cấp DO ACT cấp
Thực hiện các biện pháp Duy trì và cải tiến an ninh
Các thông tin Các
bên kiểm soát an ninh TT Thông bên
• Các quyết sách cải tiến để giảm thiểu rủi
quan • Xác định mức độ đe dọa/ rủi ro tới tài sản tin ro quan
(rất cao, cao, trung bình, thấp..).
tâm • Điểm yếu dễ bị tấn công
Sẵn sàng • Mục tiêu an ninh tâm
•Hệ thống tài liệu (thủ tục, quy đinh..), hồ sơ
• Thực hiện kiểm soát an ninh dữ liệu, kiểm
• Hạ tầng kỹ thuật (camera quan sát, server,
soát rủi ro theo mục tiêu và kế hoạch xử lý
cáp, máy móc… )
rủi ro đã đặt ra
• Con người
Các yêu An
cầu và CHECK ninh
mong Giám sát và xem xét kiểm thông
đợi về soát an ninh thông tin tin
ISMS • Báo cáo đánh giá rủi ro được
•Đánh giá và đo lường cádc biện pháp kiểm
soát rủi ro quản ly
• Nhận biết và chấp nhận những rủi ro còn
sót lại.
14 D.A.S Vietnam Certification Ltd.
- AN NINH NGUỒN NHÂN LỰC
Mục tiêu kiểm soát: nguồn nhân lực trong nội bộ tổ chức, nhà thầu
và bên thứ ba nhận thức và thực hiện ISMS
Trước tuyển dụng
Tài sản
của
Tổ chức
Sẵn sàng
Trong thời gian Nghỉ việc hoặc
làm việc chuyển vị trí
15 D.A.S Vietnam Certification Ltd.
- AN NINH VẬT LÝ VÀ MÔI TRƯỜNG
Kiểm soát sự xâm nhập trái phép, mất hoặc làm gián đoạn các hoạt
động của Tổ chức
AN NINH VẬT LÝ VÀ
MÔI TRƯỜNG
An ninh các An ninh thiết bị
khu vực
• Vành đai an toàn vật lý •Vị trí thiết bị và bảo vệ
• Kiểm soát xâm nhập vật lý • Các phương tiện hỗ trợ
• An toàn các phòng ban, • An toàn dây cáp
phương tiện, • Bảo dưỡng thiết bị
• Phòng chống những đe dọa • An toàn các thiết bị đặt bên
từ môi trường và môi trường ngoài
bên ngoài • An toàn trong loại bỏ và tái
• An ninh khu vực làm việc sử dụng thiết bị
• Các khu vực truy cập công • Di chuyển tài sản
cộng…
16 D.A.S Vietnam Certification Ltd.
- QUẢN LÝ RỦI RO – vấn đề trọng tâm khi tiếp cận ISMS
Đảm bảo tính kinh doanh liên tục và tuân thủ chế định và pháp định
Mục tiêu kiểm soát rủi ro – Phương pháp đánh giá rủi ro
Nhận biết các mức độ bảo mật, giá trị của tất cả các tài sản
Rủi ro về sở Thông tin Những
điểm yếu Các
hữu tài sản
hành
Con người Phần mềm
động
Kiếm
cải
soát
tiến
xử lý
Tài sản giảm
rủi ro
Hình ảnh rủi ro
Vật lý
uy tín
Mất độ tin
cậy,
Các mối đe Các h.động Đối tác
tính toàn
dọa sản xuất Khách hàng vẹn,
Dịch vụ Thầu phụ tính sẵn
sàng
Tiêu chí chấp nhận rủi ro
Đo lường, đánh giá tính hiệu lực của các phương pháp kiểm soát
Nhận biết những rủi ro còn sót lại
17 D.A.S Vietnam Certification Ltd.
- Trình tự thiết lập
1. Cam kết xây dựng Hệ thống ISMS
2. Xác định phạm vi, ranh giới ISMS
3. Xây dựng chính sách ISMS
4. Xác định tài sản và giá trị tài sản
5. Xác định các yêu cầu của luật định,
chế định và yêu cầu của khách hàng HTQL ANTT phù
6. Nhận biết rủi ro, phân tích – lượng
hóa rủi ro, đánh giá rủi ro và lựa chọn hợp yêu cầu tiêu
các phương án xử lý rủi ro. chuẩn
7. Xác định các mục tiêu kiểm soát và ISO/IEC27001:2005
phương pháp kiểm soát
8. Thiết lập hệ thống tài liệu theo yêu
cầu ISO/IEC 27001:2005
9. Công bố áp dụng – SOA
10. Thực hiện, vận hành, giám sát, xem
xét, duy trì và cải tiến an ninh thông
tin
18 D.A.S Vietnam Certification Ltd.
- Giấy chứng nhận ISO/IEC 27001:2005 giá trị toàn cầu
19 D.A.S Vietnam Certification Ltd.
- Những vấn đề cần quan tâm khi xây
dựng HTQLANTT
1
CSO/ ISMR
CSO/ ISMR là Lãnh đạo cao nhất nhận thức yêu cầu ISO/IEC
27001:2005
Nhân sự của Tổ chức và các bên liên quan phải nhận thức và tuân thủ.
Con người
Lưu trữ tài sản thông tin: Lưu giữ bản cứng (phòng, tủ, khóa..) Lưu trữ bản
mềm: Server, hệ thống backup dữ liệu nội bộ, từ xa, ổ dữ liệu, máy hủy tài
liệu…
Thiết bị Truy cập, xử lý và truyền tải thông tin: phần mềm ứng dụng có bản quyền,
thiết kế và xây dựng, áp dụng hệ thống an ninh mạng, đường cáp chống
đồng bộ nhiễu…
Thiết bị kiểm soát xâm nhập vật lý: Hệ thống camera quan sát, kiểm soát
thẻ từ, vân tay, UPS, máy phát điện, hệ thống phòng chống cháy nổ….
Các thiết bị theo yêu cầu của ngành, khách hàng và luật pháp.
Hệ thống Các quy định, thủ tục/ quy trình, hướng dẫn…và hồ sơ đáp ứng yêu cầu của
tài liệu, hồ sơ Tổ chức, các bên quan tâm, luật pháp và tiêu chuẩn ISO/IEC27001:2005
20 D.A.S Vietnam Certification Ltd.
nguon tai.lieu . vn