Quản lý rủi ro và bảo mật - Phần 1: Giới thiệu về an toàn thông tin - Trương Việt Phương

158 trang phuongnguyen 3660

Download

Bạn đang xem 20 trang mẫu của tài liệu "Quản lý rủi ro và bảo mật - Phần 1: Giới thiệu về an toàn thông tin - Trương Việt Phương", để tải tài liệu gốc về máy bạn click vào nút DOWNLOAD ở trên

Tài liệu đính kèm:

quan_ly_rui_ro_va_bao_mat_phan_1_gioi_thieu_ve_an_toan_thong.ppt

Nội dung text: Quản lý rủi ro và bảo mật - Phần 1: Giới thiệu về an toàn thông tin - Trương Việt Phương

QUẢN LÝ RỦI RO VÀ BẢO MẬT Trương Việt Phương Khoa Tin học Quản lý Đại học Kinh Tế Tp.HCM vietphuongtruong@yahoo.com
PHẦN 1 Giới thiệu về an toàn Thông tin Thông tin là gì? Cơ sở hạ tầng CNTT An toàn thông tin Các rủi ro của hệ thống thông tin ISMS ISO 27001
Giới thiệu – Thông tin là gì? Đối với một đối tượng hay hệ thống: ⚫ Dữ liệu (data): Là các số liệu hay tài liệu cho trước chưa được xử lý. ⚫ Thông tin (information): Là dữ liệu đã được xử lý và có ý nghĩa đối với đối tượng nhận tin.
Thông tin là gì? Thông tin là tài sản, cũng như các tài sản kinh doanh quan trọng khác, có giá trị đối với một tổ chức và thường cần được bảo vệ một cách thích hợp. Nguồn: ISO/IEC 17799
Tầm quan trọng của Thông tin Thông tin là yếu tố cần thiết để duy trì lợi nhuận, dòng tiền mặt, lợi thế cạnh tranh và hình ảnh thương mại Ngày càng tăng sự phụ thuộc vào các hệ thống thông tin Thông tin là tài sản cũng như tài sản nguồn vốn và tài sản con người
Thông tin Được lưu trữ trong Máy vi tính Được truyền qua mạng Được in hoặc viết ra giấy Được gửi bằng fax Được lưu trữ trong băng hoặc đĩa Được truyền đạt qua giao tiếp (kể cả điện thoại) Được hiển thị trên phim ảnh hoặc trình chiếu
Các Mối đe dọa đối với Thông tin Tai nạn và Thảm họa Nhân viên Các nhà tư vấn Đối tác Kinh doanh Người ngoài Máy vi tính (PC) và Vi rút
Phân loại thông tin
Giới thiệu
Nền tảng căn bản về Cơ sở hạ tầng CNTT là gì? đầu tư cho khả năng của CNTT (cả về mặt kỹ thuật và con người), được chia sẻ trong toàn doanh nghiệp nhờ vào các dịch vụ tin cậy và việc điều phối tập trung.
Cơ sở hạ tầng Công nghệ Thông tin Mới
Các Ứng dụng của Cơ sở hạ tầng Công nghệ Thông tin Thu thập Dữ liệu Phân tích, Rút gọn và Báo cáo Dữ liệu Phân tích Thống kê Kiểm soát quy trình Kiểm tra và Giám sát Tự động Thiết kế Hệ thống Quản lý Tài liệu
Các Ứng dụng của Cơ sở hạ tầng Công nghệ Thông tin Trong thương mại Trong quản lý công Trong giáo dục Trong dịch vụ truyền thông Trong học tập, nghiên cứu Trong giải trí
Thách thức của việc Quản lý Cơ sở hạ tầng CNTT
Thách thức của việc Quản lý Cơ sở hạ tầng CNTT
An toàn Thông tin là gì? Theo tiêu chuẩn ISO 27001, An toàn Thông tin được định nghĩa là việc bảo vệ: ⚫ Tính bảo mật ⚫ Tính toàn vẹn ⚫ Tính sẵn sàng Ngoài ra, các thuộc tính khác như tính xác thực, tính trách nhiệm, tính thừa nhận và độ tin cậy cũng được đưa vào định nghĩa.
Ba Khía cạnh của An toàn Thông tin
Nội dung Quản lý An toàn Thông tin Công chúng Quản lý Nội Người bộ dùng Tính toàn vẹn Tính bảo mật Nhân viên Rủi ro Tranh chấp Tính sẵn sàng Các Chủ thể Đánh giá Nội liên đới bộ
An toàn Thông tin Thách thức Quản lý hay Vấn đề Kỹ thuật? ▪Hệ thống, Công cụ, Cấu trúc, v.v 20% 80% Quản lý Công nghệ •Chính sách An toàn Thông tin •Trách nhiệm An toàn Thông tin •Phổ biến/Huấn luyện An toàn Thông tin •Kế hoạch Kinh doanh Liên tục
An toàn thông tin phải được coi là vấn đề quản lý và là thách thức kinh doanh, không đơn thuần chỉ là vấn đề kỹ thuật được giao cho các chuyên gia. Để bảo đảm an toàn cho việc kinh doanh, cần phải hiểu cả sự cố và giải pháp.
Tại sao phải An toàn Thông tin? Bảo vệ thông tin khỏi những mối đe dọa Bảo đảm tính liên tục trong kinh doanh Tối đa hóa lợi nhuận đầu tư và các cơ hội kinh doanh Đây là một vấn đề kinh doanh!
Làm cách nào để Đảm bảo An toàn Thông tin? Đảm bảo an toàn thông tin bằng cách thực hiện một nhóm công cụ kiểm soát thích hợp, có thể bao gồm các chính sách, thực hành, thủ tục, cơ cấu tổ chức và các chức năng phần mềm. Các công cụ kiểm soát này cần phải được thiết lập để đảm bảo đáp ứng các mục tiêu an toàn cụ thể của tổ chức.
Tìm hiểu các Đe dọa, Lỗ hổng và Rủi ro
Tìm hiểu các Đe dọa, Lỗ hổng và Rủi ro
Các Đe dọa, Rủi ro và Lỗ hổng Khai thác Đe dọa Lỗ hổng Bảo vệ Tấn chống công Risk Kiểm soát Giảm Tài sản Đáp ứng Có bằng Các Yêu cầu Giá trị An toàn Tài sản Ảnh hưởng đến Tổ chức
Kiểm soát An toàn Đe dọa Kiểm soát Kiểm soát Ngăn chặn Khắc phục Tạo ra Giảm Khả năng Kiểm soát Tấn Lỗ hổng Phát hiện Phát hiện công Khai thác Khởi động Dẫn đến Bảo vệ Giảm Kiểm soát Tác động Phòng ngừa Giảm
Đánh giá và Quản lý Rủi ro Tài sản là những gì mà tổ chức trực tiếp gán giá trị cho nó và do đó cần phải được bảo vệ. ⚫ Tài sản Thông tin ⚫ Tài sản Phần mềm ⚫ Tài sản Vật chất ⚫ Dịch vụ Những tài sản này phải nằm trong phạm vi của Hệ thống Quản lý An toàn Thông tin (ISMS).
Đánh giá và Quản lý Rủi ro Theo ISO 27001, “tài sản” không nhấtthi ết phải bao gồm tất cả những gì thường được coi là có giá trị trong tổ chức. Tổ chức phải xác định tài sản nào có thể ảnh hưởng quan trọng đến việc tạo ra sản phẩm/dịch vụ khi bị thiếu hoặc bị hư hỏng; hoặc dẫn đến thiệt hại cho tổ chức do mất đi tính bảo mật hoặc tính toàn vẹn.
Đánh giá và Quản lý Rủi ro Một số ví dụ: ⚫ Tài sản Thông tin – cơ sở dữ liệu, bản sao điện tử ⚫ Tài liệu Giấy – hợp đồng, hồ sơ nhân sự, hóa đơn, sổ tay hướng dẫn ⚫ Tài sản Phần mềm – phần mềm ứng dụng, hệ điều hành, công cụ phát triển, chương trình tiện ích ⚫ Tài sản Vật chất – máy vi tính, máy chủ, hub, tường lửa, thiết bị thông tin liên lạc, lưu trữ dữ liệu, kệ tủ, két sắt, phòng ốc, đồ nội thất ⚫ Con người – nhân sự, khách hàng, người thuê bao, nhà thầu, lao công, bảo vệ ⚫ Dịch vụ – viễn thông, sưởi, máy điều hòa, chiếu sáng, máy phát điện, bộ lưu điện UPS, chuông báo cháy, chuông chống trộm ⚫ Hình ảnh/uy tín công ty – điều tiếng xấu, lỗi giao hàng
Đánh giá và Quản lý Rủi ro Tài sản phải được xác định và phải được thiết lập quyền sở hữu. Cũng phải thiết lập một giá trị tương đối cho mỗi tài sản để có thể xác định mức độ quan trọng khi định lượng rủi ro.
Đánh giá và Quản lý Rủi ro Tùy vào dạng thiệt hại / hư hỏng ⚫ Thiệt hại tài chính ⚫ Thiệt hại doanh thu / thị phần ⚫ Tính sẵn sàng và sự gián đoạn hoạt động của dịch vụ ⚫ Khả năng và năng suất xử lý ⚫ Thiệt hại hình ảnh và uy tín
Đánh giá và Quản lý Rủi ro Đe dọa là khả năng gây ra một sự cố không mong muốn, có thể dẫn đến việc hư hỏng cho một hệ thống hoặc một tổ chức và các tài sản của tổ chức. ⚫ Có thể thuộc về môi trường (như bão lụt), kỹ thuật (như sập máy chủ), hoặc con người (như biểu tình). ⚫ Có thể từ bên ngoài hoặc bên trong. ⚫ Có thể do chủ ý hoặc vô ý. Tài sản chịu nhiều hình thức đe dọa bị khai thác các lỗ hổng.
Đánh giá và Quản lý Rủi ro Đe dọa khai thác hoặc lợi dụng các lỗ hổng của tài sản để tạo ra rủi ro. ⚫ Các mối đe dọa đối với tài sản phải được nhận diện. ⚫ Có thể có nhiều mối đe dọa đối với mỗi tài sản. Việc nhận diện các mối đe dọa phải mang tính thực tế. ⚫ Chỉ những đe dọa có xác suất đáng kể hoặc đặc biệt nguy hại mới cần được xem xét.
Đánh giá và Quản lý Rủi ro Một số ví dụ: ⚫ Truy cập Ngẫu nhiên – dữ liệu để bừa bãi, để lộ hoặc bị nhìn thấyd ữ liệu trên màn hình máy vi tính, xem trên phương tiện giao thông công cộng ⚫ Nhân viên và Cán bộ Bất mãn – Họ thường dễ nhận thấy lỗ hổng trong hệ thống của tổ chức. Họ có thể hành động vì lợi ích cá nhân hoặc để trả thù. ⚫ Kẻ trộm Máy vi tính – Máy tính xách tay dễ bị trộm khi trông coi thiếu cẩn thận. ⚫ Kẻ Buôn bán Thông tin và Tội phạm có Tổ chức – Tình báo Công nghiệp, tống tiền ⚫ Hacker Máy vi tính – tự thử thách hoặc vì mục đích tài chính ⚫ Báo chí – Các Phóng viên Điều tra có thể khai thác thông tin ⚫ Tình báo Kinh tế – trộm cắp công nghệ, bí quyết, công thức, phá hoại ⚫ Lễ hội/Kỳ nghỉ – Nhân viên quản trị hệ thống nghỉ làm ⚫ Các Tổ chức Khủng bố – Những kẻ cực đoan
Đánh giá và Quản lý Rủi ro
Đánh giá và Quản lý Rủi ro
Đánh giá và Quản lý Rủi ro Lỗ hổng là điểm yếu hoặc là lỗ hổng trong an toàn thông tin của tổ chức. ⚫ Tự thân lỗ hổng không thể gây thiệt hại, mà chủ yếu nó là một điều kiện hoặc nhóm điều kiện cho phép các mối đe dọa tác động đến tài sản. ⚫ Nếu không được quản lý, nó có thể làm cho các mối đe dọa trở thành hiện thực. ⚫ Chẳng hạn như thiếu nhân sự chủ chốt, mạng lưới điện không ổn định, thiếu ý thức về an toàn, mật khẩu sai, cửa không khóa.
Đánh giá và Quản lý Rủi ro Lỗ hổng là những khiếm khuyết được phát hiện trong tài sản, các mối đe dọa có thể bị khai thác những khiếm khuyết này để tạo ra rủi ro. Một tài sản có thể có nhiều lỗ hổng.
Đánh giá và Quản lý Rủi ro Một số ví dụ: ⚫ Các Hệ thống Báo động ⚫ Hệ thống Thư thoại Gọi đến ⚫ Cặp tài liệu/Túi xách Bất cẩn ⚫ Kệ tủ ⚫ Máy vi tính ⚫ Đàm thoại ⚫ Các Liên kết Dữ liệu ⚫ Nhân sự ⚫ Bưu phẩm/Thư từ
Đánh giá và Quản lý Rủi ro
Đánh giá và Quản lý Rủi ro Đe dọa và Lỗ hổng: An toàn Nhân sự Lỗ hổng Đe dọa Công việc của người ngoài Trộm không được giám sát Không huấn luyện an toàn đầy Lỗi do nhân viên hỗ trợ vận đủ hành Phần mềm được lập tài liệu Lỗi do nhân viên hỗ trợ vận kém hành Thiếu cơ chế theo dõi Sử dụng thiết bị không đúng mục đích cho phép Thiếu chính sách sử dụng Sử dụng thiết bị không đúng internet / e-mail phù hợp mục đích cho phép
Đánh giá và Quản lý Rủi ro Xác suất của mỗi tổ hợp đe dọa/lỗ hổng Các tổ hợp không có ý nghĩa quan trọng theo thống kê nên được bỏ qua.
Đánh giá và Quản lý Rủi ro Thiệt hại (đôi khi còn được gọi là tác động) có thể được định lượng bằng con số để phản ảnh mức độ thiệt hại của một lần khai thác thành công. Giá trị định lượng này được tính trên thang đo mức độ nghiêm trọng tương đối của một rủi ro cho trước không phụ thuộc vào xác suất của nó.
Đánh giá và Quản lý Rủi ro Đánh giá và giảm nhẹ rủi ro là mục tiêu của ISMS. Một rủi ro an toàn là khả năng một mối đe dọa biết trước sẽ khai thác các lỗ hổng để gây ra các thiệt hại/hư hỏng cho tài sản. Nó là một hàm tính mức tác động của một sự kiện không mong muốn và xác suất xảy ra sự kiện đó.
Đánh giá và Quản lý Rủi ro Đánh giá Rủi ro là đánh giá các mối đe dọa, các tác động và các lỗ hổng đối với tài sản và khả năng xảy ra của chúng. Đánh giá đưa ra dự báo về rủi ro đối với một tài sản tại một thời điểm nhất định. Đánh giá trên trả lời cho các câu hỏi sau: ⚫ Sai sót nào có thể xảy ra? ⚫ Mức độ tồi tệ của nó như thế nào? ⚫ Xác suất xảy ra ra sao? ⚫ Làm cách nào để quản lý nó?
Đánh giá và Quản lý Rủi ro Đánh giá và Quản lý Rủi ro Quy trình đánh giá và quản lý Rủi ro (1) Xác định và Định giá Tài sản Nhận diện các Lỗ hổng Nhận diện các Mối đe dọa Đánh giá Các rủi ro Mức tác động Kinh doanh Đánh giá/Xếp hạng Mức độ các Rủi ro Chấp nhận Rủi ro
Đánh giá và Quản lý Rủi ro Đánh giá và Quản lý Rủi ro Rà soát các Công cụ Quy trình Đánh giá và Quản lý Rủi ro (2) Kiểm soát An toàn Hiện hữu Xác định các Công cụ Kiểm soát An toàn Mới Chính sách và Thủ tục Phân tích các Sai sót Chấp nhận Rủi ro Thực hiện và (Các Rủi ro Tồn đọng) Giảm thiểu Rủi ro
Đánh giá và Quản lý Rủi ro Các Công cụ Kiểm soát An toàn Đo lường để Phòng ngừa, Phát hiện hoặc Giảm thiểu Rủi ro. An toàn hiệu quả thường đòi hỏi sự kết hợp của các yếu tố sau: •Phát hiện •Khắc phục •Ngăn chặn •Phục hồi •Phòng ngừa •Theo dõi •Hạn chế •Nhận thức
Hệ thống Quản lý An toàn Thông tin Hệ thống Quản lý Kinh doanh Môi trường An toàn Chất lượng Thông tin Hệ thống Quản lý Con người Rủi ro Kinh doanh Sức khỏe và Cải tiến An toàn
Hệ thống Quản lý An toàn Thông tin Hệ thống Quản lý An toàn Thông tin (ISMS) là gì? là một phần của hệ thống quản lý chung, được dựa trên phương pháp về rủi ro trong kinh doanh, để thiết lập, thực hiện, vận hành, theo dõi, rà soát, duy trì và cải thiện hệ thống an toàn thông tin. LƯU Ý: Hệ thống quản lý bao gồm: cơ cấu tổ chức, chính sách, kế hoạch hành động, trách nhiệm, thực hành, thủ tục, quy trình và nguồn lực.
Hệ thống Quản lý An toàn Thông tin ISO 17799 / ISO 27001 là gì? Là một bộ công cụ kiểm soát được thiết lập trên cơ sở các thực hành tốt nhất về an toàn thông tin; Là một tiêu chuẩn quốc tế bao hàm mọi lĩnh vực của an toàn thông tin: ⚫ Thiết bị ⚫ Chính sách quản lý ⚫ Nguồn nhân lực ⚫ Pháp lý
Hệ thống Quản lý An toàn Thông tin ISO 17799 là gì? ISO/IEC 17799:2005 đưa ra các hướng dẫn và nguyên tắc chung để khởi động, thực hiện, duy trì và cải tiến việc quản lý an toàn thông tin trong tổ chức. Các mục tiêu trong tiêu chuẩn là hướng dẫn chung cho các mục đích được chấp nhận rộng rãi của việc quản lý an toàn thông tin.
Hệ thống Quản lý An toàn Thông tin ISO 27001 là gì? ISO/IEC 27001:2005 quy định các yêu cầu của việc thiết lập, thực hiện, vận hành, theo dõi, rà soát, duy trì và cải tiến một Hệ thống Quản lý An toàn Thông tin được lập tài liệu trong môi trường có các rủi ro kinh doanh chung của tổ chức. Nó quy định các yêu cầu đối với việc thực hiện các công cụ kiểm soát an toàn được điều chỉnh phù hợp với từng tổ chức hoặc bộ phận của tổ chức.
Hệ thống Quản lý An toàn Thông tin Ai cần ISMS? Mọi tổ chức, công ty, doanh nghiệp có xử lý thông tin: CĂN BẢN LÀ TẤT CẢ MỌI NGƯỜI!!!!!!!!!!!!!!! ⚫ Ngân hàng ⚫ Công ty CNTT và phát triển phần mềm ⚫ Chính quyền (ví dụ: cơ quan thuế) ⚫ Công ty Tư vấn ⚫ Bệnh viện ⚫ Trường học, Đại học ⚫ Công ty Bảo hiểm ⚫ Các Tổ chức Chứng nhận (CSP) ⚫ . chỉ là một số ít điển hình!
Hệ thống Quản lý An toàn Thông tin Tại sao một tổ chức cần áp dụng ISMS? ISO 27001 đưa ra giải pháp tốt nhất về Quản lý An toàn Thông tin Nếu không có một Hệ thống Quản lý An toàn Thông tin (ISMS) chính thức như hệ thống theo ISO 27001, thì an toàn sẽ bị vi phạm – sớm hay muộn. Điều cần thiết nhất của việc An toàn Thông tin là một quy trình quản lý, không phải là một quy trình kỹ thuật.
PHẦN 2 Hệ thống Quản lý An toàn Thông tin ISO 27001
Hệ thống Quản lý An toàn Thông tin Hệ thống Tiêu chuẩn ISO 27000 ISO 27001 - Là tiêu chuẩn quy định các yêu cầu của hệ thống ISMS, tiền thân là BS 7799 Phần 2:2002, chứng nhận cho các tổ chức. Bản dự thảo của ISO 27001 được phát hành đầu tháng 6/2005. ISO 27002 (hiện nay là ISO 17799:2005) – Quy phạm Thực hành, là một tập hợp các mục tiêu kiểm soát an toàn thông tin và một danh mục các công cụ thực hành kiểm soát an toàn tốt nhất. Phiên bản 2005 của ISO 17799 được phát hành tháng 6/2005. Phiên bản mới vừa được ban hành (2006/2007).
Hệ thống Quản lý ISO 27001 Cấu trúc ISO 27001:2005 1. Phạm vi 2. Tiêu chuẩn Viện dẫn 3. Thuật ngữ và Định nghĩa 4. Hệ thống Quản lý An toàn Thông tin 4.1 Các Yêu cầu Chung 4.2 Thiết lập và Quản lý ISMS 4.3 Các Yêu cầu về Tài liệu 5. Trách nhiệm Quản lý 6. Đánh giá Nội bộ ISMS 7. Rà Soát ISMS ở Cấp quản lý 8. Cải tiến ISMS 9. Phụ lục A, B, C và D
Hệ thống Quản lý ISO 27001 Cơ cấu Quản lý ISO 27001:2005 (1) Bước 1 Chính sách Xác định Chính sách Bước 2 Xác định Phạm vi của Phạm vi ISMS Hệ thống ISMS Bước 3 Đe dọa, Lỗ Tổ chức Đánh giá Đánh giá Rủi ro hổng, Xác Rủi ro suất, Tác động Kết quả và Kết luận
Hệ thống Quản lý ISO 27001 Cơ cấu Quản lý ISO 27001:2005 (2) Bước 4 Kết quả và Kết luận Phương pháp riêng của tổ chức để quản lý Quản lý Rủi ro rủi ro và mức độ đảm bảo Bước 5 Các mục tiêu Chọn Công cụ Công cụ Kiểm và công cụ Kiểm soát soát Được chọn kiểm soát Bước 6 Các mục tiêu và công cụ kiểm soát được chọn Soạn thảo Thông cáo SOA Áp dụng (SOA)
Quy trình Áp dụng Mô hình PDCA vào ISMS Các yêu cầu và mong muốn về an toàn thông tin Lập kế hoạch thiết lập hệ thống ISMS Thực hiện thực hiện và vận hành hệ thống ISMS Cải tiến duy trì và cải tiến hệ thống ISMS Kiểm tra theo dõi và rà soát hệ thống ISMS an toàn thông tin được quản lý
Các Yêu cầu của Hệ thống Quản lý ISO 27001 Lập kế hoạch Thiết lập hệ thống ISMS Chu trình thiết lập, Thực hiện duy trì và cải tiến Cải tiến Thực hiện và vận Duy trì và cải hành hệ thống tiến hệ thống ISMS ISMS Kiểm tra Theo dõi và rà soát hệ thống ISMS Phương pháp Thực hiện theo Quy trình
Các Yêu cầu của Hệ thống Quản lý ISO 27001 Lập kế hoạch Thiết lập hệ thống ISMS a) Xác định phạm vi của ISMS b) Đề ra một chính sách ISMS c) Xác định một phương pháp đánh giá rủi ro của tổ chức d) Nhận diện các rủi ro e) Phân tích và đánh giá các rủi ro f) Xác định và đánh giá các giải pháp xử lý rủi ro g) Lựa chọn các mục tiêu và các công cụ kiểm soát để xử lý rủi ro h) Quyết định của cấp quản lý chấp thuận các rủi ro còn tồn đọng i) Nhận ủy quyền của cấp quản lý cho thực hiện và vận hành ISMS j) Soạn thảo Thông cáo Áp dụng
Các Yêu cầu của Hệ thống Quản lý ISO 27001 Lập kế hoạch Thiết lập hệ thống ISMS Thực hiện Thực hiện và vận hành hệ thống ISMS a) Thiết lập kế hoạch xử lý rủi ro b) Thực hiện kế hoạch xử lý rủi ro c) Thực hiện các công cụ kiểm soát được chọn để đáp ứng các mục tiêu kiểm soát d) Quy định cách đo lường sự hiệu quả của các công cụ kiểm soát được chọn e) Thực hiện các chương trình huấn luyện và phổ biến f) Quản lý các hoạt động g) Quản lý nguồn lực cho ISMS g) Thực hiện các thủ tục và các công cụ kiểm soát khác
Các Yêu cầu của Hệ thống Quản lý ISO 27001Lập kế hoạch Thiết lập hệ thống ISMS Thực hiện Thực hiện và vận hành hệ thống ISMS Kiểm tra Theo dõi và rà soát hệ thống ISMS a) Thực hiện các thủ tục theo dõi, soát xét và các công cụ kiểm soát khác b) Tổ chức rà soát định kỳ hiệu quả của ISMS c) Đo lường hiệu quả của các công cụ kiểm soát d) Xem xét các đánh giá rủi ro theo định kỳ e) Tiến hành các đợt đánh giá nội bộ ISMS f) Tổ chức rà soát ISMS ở cấp quản lý g) Cập nhật các kế hoạch an toàn h) Ghi nhận các hoạt động và các sự kiện có thể tác động đến hiệu quả hoặc hiệu năng của ISMS
Các Yêu cầu của Hệ thống Quản lý ISO 27001 Lập kế hoạch Thiết lập hệ thống ISMS Cải tiến Thực hiện Thực hiện và vận hành hệ thống ISMS Kiểm tra Duy trì và cải tiến hệ thống ISMS Theo dõi và rà soát hệ thống a) Thực hiện các cải tiến đã được xác ISMS định b) Thực hiện các hành động khắc phục và phòng ngừa thích hợp c) Thông tin về các hoạt động và cải tiến với tất cả các bên liên quan d) Bảo đảm các cải tiến đạt được mục tiêu đề ra
Lập tài liệu Hệ thống Quản lý ISO 27001 Các chính sách về cơ cấu quản lý liên quan đến ISO 27001 Cấp Sổ tay Hướng độ 1 Chính sách, phạm dẫn An toàn vi đánh giá rủi ro, thông cáo áp dụng Cấp Mô tả các quy trình – ai, cái gì, Thủ tục độ 2 khi nào, ở đâu Hướng dẫn Công việc, danh mục kiểm Cấp Mô tả cách thực hiện các công việc tra, biểu mẫu, v.v độ 3 và hoạt động cụ thể Cấp Cung cấp bằng chứng về việc tuân thủ các độ 4 mục tiêu theo yêu cầu ISMS Hồ sơ
PHẦN 3 Phương pháp Thực hiện ISMS
Phương pháp Thực hiện ISO 27001 Khởi động dự án Quy định ISMS 8 Bước cần tuân thủ khi áp dụng Đánh giá rủi ro tiêu chuẩn ISO 17799 / ISO 27001. Quản lý rủi ro Huấn luyện và phổ biến Chuẩn bị đánh giá Đánh giá Cải tiến liên tục
Phương pháp Thực hiện ISO 27001 Các bước thực Mô tả hiện Khởi động Dự án •Đảm bảo sự cam kết của lãnh đạo cao cấp; •Lựa chọn và huấn luyện các thành viên nhóm khởi động dự án. Xác định ISMS Xác định phạm vi và các giới hạn của cơ cấu (Hệ thống Quản lý quản lý an toàn thông tin là tối quan trọng đối An toàn Thông tin) với sự thành công của dự án. Đánh giá Rủi ro •Xác định và đánh giá các mối đe dọa và lỗ hổng; •Ước tính giá trị của các rủi ro liên quan; •Xác định cấp độ tuân thủ ISO 17799; •Tập hợp và đánh giá các tài sản cần bảo vệ.
Phương pháp Thực hiện ISO 27001 Các bước thực hiện Mô tả Xử lý Rủi ro Hiểu rõ cách lựa chọn và thực hiện đúng các công cụ kiểm soát sẽ giúp tổ chức hạn chế rủi ro đến một mức chấp nhận được. Huấn luyện và Phổ Nhân viên có thể là mắt xích yếu nhất trong hệ biến thống an toàn thông tin của tổ chức. Chuẩn bị Đánh giá Tìm hiểu cách đánh giá cơ cấu quản lý và những việc phải làm trước khi mời các đánh giá viên bên ngoài đến chứng nhận ISO27001. Đánh giá Tìm hiểu thêm về các bước do các đánh giá viên bên ngoài thực hiện và các tổ chức được chứng nhận ISO 27001.
1.Khởi động Dự án Đây là giai đoạn chuẩn bị của dự án. Để thực hiện dự án thành công, cần phải: ⚫ Có sự Cam kết của Lãnh đạo Cấp cao ⚫ Thành lập hội đồng quản lý dự án
Khởi động Dự án TẠI SAO CẦN PHẢI KHỞI ĐỘNG? Để đảm bảo việc vận dụng hợp lý các chức năng của cơ cấu quản lý an toàn thông tin, cần thiết phải có sự phê duyệt và cam kết của lãnh đạo cấp cao. Không có cam kết của lãnh đạo, việc thực hiện dự án có thể gặp một số khó khăn. Để giảm bớt sự trì hoãn kéo dài, phải đạt được sự cam kết của lãnh đạo cấp cao ở tất cả các cấp độ: điều hành, kỹ thuật, tài chính, và cả cam kết về tiến độ thực hiện.
Khởi động Dự án VAI TRÒ VÀ TRÁCH NHIỆM Hội đồng quản lý dự án thường bao gồm một viên chức quản lý cao cấp, một giám đốc dự án và đại diện của các đơn vị hành chính khác nhau. Giám đốc dự án thường quản lý các hoạt động nghiệp vụ và quy định các thứ tự ưu tiên. Giám đốc dự án phải nắm vững quy trình thực hiện và luôn thường trực. Trong một số tổ chức lớn, Giám đốc An toàn Thông tin (CISO) thực hiện các nhiệm vụ này.
Khởi động Dự án Hội đồng Quản lý của Tổ chức Quản lý việc thực hiện Hội đồng thực thi Nhóm hỗ trợ thực hiện Bảo đảm việc triển Bảo đảm sao lưu dữ liệu và huấn khai và thực hiện luyện nhân viên Nhóm làm việc Nhóm làm việc Triển khai thực hiện Nhóm làm việc Nhóm làm việc Các nhóm làm việc được thành lập khi cần thiết để triển khai các công cụ và các thủ tục. Các nhóm này cũng được sử dụng cho việc thực hiện của các đơn vị hành chính khác.
2. Quy định ISMS Mục tiêu / Mục Ở góc độ khởi động, phải có quyết định rõ ràng đích về việc áp dụng tiêu chuẩn về tuân thủ hoặc để được chứng nhận ISO 27001. Phạm vi Những đơn vị hành chính và những hoạt động nào sẽ được đưa vào cơ cấu quản lý an toàn thông tin? Câu trả lời cho câu hỏi này là tập hợp tương đối các hoạt động quan trọng nhất của tổ chức. Ranh giới / Giới Các giới hạn của phạm vi áp dụng ISMS được hạn xác định theo: • Các đặc trưng riêng của tổ chức (quy mô, phạm vi phấn đấu, v.v ); • Vị trí của tổ chức; • Tài sản (hệ thống lưu trữ tất cả các thông tin quan trọng); • Công nghệ.
Quy định ISMS Giao tiếp Tổ chức phải tính đến việc giao tiếp với các hệ thống, các tổ chức khác và các nhà cung ứng bên ngoài. Lưu ý: Mọi giao tiếp với các dịch vụ hoặc hoạt động không hoàn toàn nằm trong phạm vi giới hạn của ISMS cần được xem xét trong quá trình nộp đơn xin chứng nhận ISMS và là một phần của việc đánh giá rủi ro an toàn thông tin của tổ chức; ví dụ: việc chia sẻ các thiết bị như máy vi tính, các hệ thống viễn thông, v.v Tính phụ Hệ thống ISMS phải tôn trọng một số yêu cầu an thuộc toàn nhất định. Các yêu cầu này có thể có tính pháp lý hoặc thương mại. Ví dụ: một tổ chức thuộc ngành y tế có thể phải tuân thủ Luật Trách nhiệm Giải trình và Chuyển đổi Bảo hiểm Y tế (HIPAA).
Quy định ISMS Ngoại lệ và Điều chỉnh Bất kỳ thành phần hoặc miền (một phần của mạng hoặc đơn vị hành chính) đã được định rõ, nhưng chưa được bảo vệ bởi một chính sách hoặc các biện pháp an toàn, phải được nhận diện và giải thích sự ngoại lệ của nó. Các biện pháp an toàn trong Kế hoạch Chiến lược phải xét đến điều kiện thực tế hoặc tương lai gần của tổ chức để đạt được các mục tiêu nhiệm vụ do lãnh đạo cấp cao đề ra. Việc mua lại công ty mới, sáp nhập với các công ty hiện hữu, cắt giảm quy mô và quyết định thuê ngoài các hệ thống thông tin là một vài ví dụ trong các mục tiêu đó. Môi trường trong Tổ Môi trường trong tổ chức giúp củng cố các biện chức pháp được thực hiện để đạt được các mục tiêu cụ thể do lãnh đạo cấp cao đề ra. Ví dụ: việc truy cập từ bên ngoài vào máy chủ của công ty cho mục đích làm việc từ xa đòi hỏi phải có những biện pháp an toàn riêng.
Quy định ISMS Soát xét hệ thống tài liệu hiện tại để đánh giá phạm vi của các biện pháp an toàn hiện tại, như sổ tay hướng dẫn Quản lý Chất lượng ISO 9000, sổ tay hướng dẫn Quản lý Môi trường ISO 14001 và sổ tay hướng dẫn Chính sách An toàn. Trưởng phòng ban liên quan đến ISMS phải phác thảo tất cả tài liệu liên quan đến an toàn dữ liệu trong phòng ban mình. Sau đây là danh sách các tài liệu có thể có: 1. Các tài liệu về chính sách an toàn; 2. Các tiêu chuẩn và thủ tục của chính sách (hành chính hoặc kỹ thuật); 3. Các báo cáo đánh giá rủi ro; 4. Các kế hoạch xử lý rủi ro; 5. Các tài liệu cho biết sự tồn tại của các công cụ kiểm soát và quản lý an toàn thông tin trong ISMS; ví dụ: các báo cáo đánh giá, hồ sơ đánh giá, báo cáo sự cố máy vi tính, v.v
3. Đánh giá Rủi ro ▪ Dù quy mô doanh nghiệp như thế nào (công ty đa quốc gia hay doanh nghiệp nhỏ), thì mọi tổ chức đều có thể bị lỗ hổng đe dọa phá hủy tính bảo mật, tính toàn vẹn và tính sẵn sàng của các dữ liệu quan trọng. Các hành động bảo vệ được thực hiện càng sớm, thì việc bảo đảm an toàn càng tiết kiệm và hiệu quả.
Đánh giá Rủi ro Tại sao phải đánh giá rủi ro? Để xác định các yêu cầu an toàn đối với tài sản thông tin của tổ chức. Để đánh giá hậu quả của rủi ro, tức là tác động của nó đến hoạt động kinh doanh. Để đưa ra các quyết định về cách quản lý rủi ro ⚫ Chấp nhận hoặc thừa nhận ⚫ Tránh ⚫ Chuyển giao trách nhiệm ⚫ Giảm thiểu hoặc kiểm soát
Tiến hành Đánh giá Rủi ro Đánh giá Rủi ro và các Nhiệm Hoạt động Đánh giá Rủi ro vụ Quản lý Xác định và Định giá Tài sản Nhận diện và liệt kê tất cả các tài sản, xác định một thang giá trị và gán giá trị cho mỗi tài sản theo thang này. Đánh giá các Đe dọa Nhận diện tất cả các đe dọa liên quan đến các tài sản đã liệt kê và gán giá trị cho các đe dọa theo xác suất xảy ra và mức độ nghiêm trọng của nó. Đánh giá các Lỗ hổng Nhận diện tất cả các lỗ hổng liên quan đến các tài sản đã liệt kê và gán giá trị cho các lỗ hổng theo khả năng dễ bị khai thác bởi các đe dọa.
Tiến hành Đánh giá Rủi ro Đánh giá Rủi ro và các Hoạt động Đánh giá Rủi ro Nhiệm vụ Quản lý Tính toán Rủi ro Tính toán rủi ro như là một hàm tính tài sản, đe dọa và lỗ hổng theo công thức tính phù hợp. Lựa chọn và Đánh giá các Lựa chọn hành động xử lý rủi Giải pháp Xử lý Rủi ro ro phù hợp cho mỗi rủi ro đã được nhận diện từ các giải pháp xử lý rủi ro khác nhau sẵn có. Lựa chọn các Công cụ Kiểm Lựa chọn các công cụ kiểm soát An toàn, Giảm thiểu và soát an toàn phù hợp để giảm Chấp nhận Rủi ro thiểu rủi ro xuống mức chấp nhận được.
4. Xử lý Rủi ro 1 Tổ chức thực hiện các biện pháp hoặc áp dụng Giảm thiểu Rủi ro các phương tiện để giảm thiểu rủi ro xuống mức chấp nhận được. 2 Tổ chức chấp nhận rủi ro đã được tính toán và Chấp nhận Rủi ro chịu trách nhiệm về các hậu quả một cách chủ động. 3 Bỏ qua rủi ro không bao giờ là một giải pháp Tránh Rủi ro đúng. Tuy nhiên, có thể tránh rủi ro bằng cách chuyển các tài sản mục tiêu tiềm tàng ra khỏi khu vực rủi ro hoặc nghiêm cấm hoàn toàn các hoạt động kinh doanh có thể làm phát sinh các điểm yếu trong an toàn. 4 Tổ chức chuyển giao rủi ro bằng việc mua bảo Chuyển giao Rủi ro hiểm hoặc thuê ngoài.
Xử lý Rủi ro Trong hầu hết trường hợp, Giảm thiểu Rủi ro là giải pháp được chọn. Theo đó, các mục tiêu phải được quy định và các công cụ kiểm soát phải được thực hiện. Khi hoàn thành việc đánh giá rủi ro, cần phải áp dụng nhiều công cụ kiểm soát khác nhau, phù hợp với tiêu chuẩn ISO 27001, trong mỗi môi trường thông tin mục tiêu. Biện pháp bảo vệ phù hợp được áp dụng cho các đe dọa đã được nhận diện. Khách thể duy trì hoặc loại bỏ giải pháp được đề xuất trước khi Lập Kế hoạch Xử lý Rủi ro.
Xử lý Rủi ro Kế hoạch Xử lý Rủi ro bao gồm tất cả các thông tin liên quan đến việc thực hiện: các nhiệm vụ và trách nhiệm quản lý, họ và tên những người chịu trách nhiệm, các thứ tự ưu tiên quản lý rủi ro, v.v Các công cụ kiểm soát bổ sung, không có trong tiêu chuẩn, có thể cũng cần thiết. Một hệ thống đánh giá rủi ro chất lượng, hay sự hỗ trợ của các chuyên gia bên ngoài, có thể sẽ hữu ích.
Xử lý Rủi ro Công cụ Thành phần Biện pháp kiểm soát Hành Các chính sách và Các chính sách, tiêu chuẩn, chính thủ tục; thủ tục, hướng dẫn, thủ tục Giám sát nhân sự; tuyển dụng nhân viên, thủ Cơ cấu theo dõi; tục chấm dứt tuyển dụng, Huấn luyện phổ quy trình phân loại và gán biến; nhãn cho tài sản, chương Thử nghiệm. trình huấn luyện phổ biến về an toàn thông tin.
Xử lý Rủi ro Công cụ Thành phần Biện pháp kiểm soát Kỹ thuật Truy cập hệ Các công cụ kiểm soát truy cập hoặc thống; logic, mã hóa, phần mềm diệt vi Logic Truy cập mạng; rút, thẻ thông minh, thủ tục truy Mã hóa và giao xuất lại, giao diện người dùng thức; hạn chế, bảo vệ màn hình tinh Khu vực kiểm thể lỏng (LCD), tường lửa, định soát; tuyến, hệ thống phát hiện đột Đánh giá và thẩm nhập (IDS), cấp độ tắt máy. tra
Xử lý Rủi ro Công Thành phần Biện pháp cụ kiểm soát Thực Phân cấp mạng; Các cổng, các lá chắn an tế Vùng phải bảo vệ; toàn, khóa, hệ thống theo Kiểm soát máy vi dõi, các công cụ kiểm soát tính; môi trường, phát hiện đột Cách ly khu vực làm nhập và di chuyển, báo việc; động, bẫy, ID, thẻ kiểm tra, Sao lưu dự phòng các biện pháp sinh trắc học. cho máy vi tính; Cáp truyền dẫn.
5. Huấn luyện và Phổ biến Tổ chức phải đảm bảo mọi nhân viên có trách nhiệm trong hệ thống ISMS quy định đều có trình độ chuyên môn và có khả năng thực hiện các nhiệm vụ được giao. Tổ chức phải: ▪ Xác định những kỹ năng nào mà nhân viên phụ trách an toàn thông tin cần phải có; ▪ Tổ chức huấn luyện phù hợp, và nếu cần thiết, có thể tuyển nhân viên mới có kinh nghiệm cho nhiệm vụ này; ▪ Đánh giá hiệu quả huấn luyện và các hoạt động đã được thực hiện; ▪ Duy trì một danh sách các chương trình giáo dục và huấn luyện mà mỗi nhân viên sẽ phải trải qua kèm theo hồ sơ năng lực, kinh nghiệm và trình độ chuyên môn của người đó.
Huấn luyện và Phổ biến ▪ Điều quan trọng là phải phát triển một chương trình huấn luyện và phổ biến để đào tạo cho tất cả các nhân viên trong tổ chức. Nhân viên phải chắc chắn hiểu rõ và tôn trọng các thực hành liên quan đến an toàn thông tin. ▪ Nhân viên là công cụ tiết kiệm nhất để đối phó với các vi phạm an toàn. Thông thường, nhân viên là người bị ảnh hưởng đầu tiên bởi các sự cố an toàn. Nhân viên nhận thức được sự nghiêm trọng của các sự cố an toàn có thể phòng tránh và hạ thấp các tác động của sự cố khi nó xảy ra. Với tầm quan trọng như vậy của nhân viên trong việc kiểm soát an toàn, thì nhận thức của nhân viên là đặc biệt quan trọng trong các chương trình an toàn thông tin. Phát hiện và báo cáo các sự cố an toàn thông tin phải trở thành một thói quen. Đây là mục tiêu đích thực của chương trình phổ biến an toàn thông tin. Nhân viên quan tâm đến an toàn thông tin sẽ rất hữu ích trong việc bảo vệ tài sản của doanh nghiệp.
6. Chuẩn bị Đánh giá Chứng nhận ISO 27001 yêu cầu phải đánh giá việc tuân thủ các quy định thực hành của cơ cấu quản lý an toàn thông tin. Trả lời hoàn tất bảng câu hỏi chứng nhận sẽ giúp xác định xem phương pháp được ban lãnh đạo sử dụng có thể giúp phát triển, kiểm soát, soát xét, duy trì và cải tiến cơ cấu quản lý đang áp dụng hay không. Nó cũng kiểm tra khả năng quản lý các hệ thống tài liệu cần thiết để chứng nhận và hoàn thành các yêu cầu an toàn liên quan đến quy trình này.
Chuẩn bị Đánh giá Thông cáo Áp dụng phải được ban hành trước khi đánh giá. Tài liệu này là cơ sở để xác định việc có thể hoặc không thể áp dụng mỗi công cụ kiểm soát trong ISO 17999 cho hệ thống ISMS đang thực thi. Nó cũng bao gồm, nếu có thể, tình hình thực hiện hiện hành của mỗi công cụ kiểm soát. Tóm lại, các mục tiêu, các công cụ được chọn và các cơ sở lựa chọn được giải thích trong thông cáo này, cũng như các cơ sở cho các ngoại lệ của các biện pháp được quy định trong tiêu chuẩn ISO 27001.
7. Đánh giá Quy trình chứng nhận ISO 27001 là hoàn toàn tự nguyện. ISO 27001 yêu cầu tổ chức chứng nhận thực hiện một đợt đánh giá ISMS tại chỗ không dưới 2 giai đoạn, trừ khi có thể áp dụng một giải pháp thay thế (ví dụ: áp dụng quy trình chứng nhận riêng cho các tổ chức rất nhỏ). Quy trình đánh giá gồm 2 giai đoạn: 1) Đánh giá Tài liệu; 2) Đánh giá Thực hiện.
Đánh giá Việc xem xét tài liệu cần phải hoàn thành trước khi Đánh giá Thực hiện bắt đầu. Tổ chức chứng nhận cần đánh giá tất cả các tài liệu liên quan đến việc thiết kế và thực hiện hệ thống ISMS, bao gồm: Tuyên bố chính sách an toàn; Quy định phạm vi của ISMS; Các thủ tục và công cụ kiểm soát hỗ trợ ISMS; Báo cáo đánh giá rủi ro; Kế hoạch xử lý rủi ro; Các thủ tục của việc lập kế hoạch, vận hành và kiểm soát hiệu quả các quy trình an toàn thông tin; Các hồ sơ xác nhận sự phù hợp và hiệu quả của các hoạt động ISMS; Thông cáo Áp dụng.
Đánh giá a) Xác nhận sự phù hợp của tổ chức với các chính sách, mục tiêu và thủ tục của tổ chức; b) Xác nhận sự phù hợp của ISMS với tất cả các yêu cầu của ISO 27001 và hiệu quả của nó đối với các mục tiêu trong chính sách của tổ chức (kể cả việc kiểm tra xem tổ chức đã có một hệ thống các quy trình để đáp ứng các yêu cầu từ Điều 4 – 8 của tiêu chuẩn ISO 27001). Việc đánh giá thực hiện cần chú trọng vào cách thức mà công ty sử dụng để xử lý việc: c) Đánh giá các rủi ro về an toàn thông tin và thiết kế hệ thống ISMS; Phương pháp đánh giá rủi ro; Nhận diện rủi ro; Đánh giá rủi ro; Xử lý rủi ro; Lựa chọn các mục tiêu và các công cụ kiểm soát để xử lý rủi ro; Soạn thảo Thông cáo Áp dụng.
Đánh giá d) Kiểm tra các mục tiêu và mục đích của quy trình này; e) Thực hiện việc theo dõi, đo lường, báo cáo và soát xét các mục tiêu và mục đích này. Điều này bao gồm việc kiểm tra các quy trình đã được thiết lập và áp dụng, tối thiểu là: ISO 27001; Điều 4.2.3 Theo dõi và rà soát ISMS; ISO 27001; Điều 7 Rà soát ISMS ở cấp quản lý; ISO 27001 2; Điều 8 Cải tiến ISMS. f) Soát xét việc quản lý và an toàn. Điều này bao gồm việc kiểm tra các quy trình đã được thiết lập và áp dụng, tối thiểu là: ISO 27001; Điều 4.2.3 Theo dõi và rà soát ISMS; ISO 27001; Rà Soát ISMS ở cấp quản lý.
Đánh giá g) Trách nhiệm quản lý chính sách an toàn thông tin. Điều này bao gồm việc kiểm tra các quy trình đã được thiết lập và áp dụng, tối thiểu là: ISO 27001; Điều 4.2.3 Theo dõi và rà soát ISMS; ISO 27001; Điều 5 Trách nhiệm quản lý; ISO 27001; Điều 67 Rà Soát ISMS ở cấp quản lý. h) Sự kết nối giữa các chính sách, các kết quả đánh giá rủi ro trong an toàn thông tin, các mục tiêu và mục đích, trách nhiệm, các chương trình, thủ tục, các số liệu về hiệu năng và soát xét an toàn (các kết nối này phải thể hiện được các quan hệ giữa các hoạt động, quy trình và kết quả khác nhau được quy định trong ISO 27001; điều 4 – 8).
Quy trình Chứng nhận ISO 27001 Xem xét Tài liệu Bước 1 Bước 2 Tài liệu hệ thống Trình bày báo cáo Trình bày báo cáo của Chính sách ISMS xem xét tài liệu Bước 1 Phạm vi Đánh giá kỹ thuật ban Đánh giá việc thực Tài liệu về Môi trường CNTT đầu hiện ISMS Thông cáo Áp dụng Kiểm tra sự phù hợp Phân tích Rủi ro với các yêu cầu Kế hoạch Kinh doanh Liên tục Kết quả Kết quả Kết quả Báo cáo Báo cáo Báo cáo Các điểm không phù Các điểm không phù hợp phải được chỉnh hợp phải được chỉnh sửa trước khi trao sửa trước khi tiến chứng nhận hành bước 2 Đề xuất chứng nhận
8.Kiểm soát và Cải tiến Liên tục Dù hệ thống ISO 27001 của quý vị có được chứng nhận hay không, thì điều quan trọng là phải thường xuyên kiểm tra và cải tiến cơ cấu quản lý sau khi triển khai. Việc kiểm tra và cập nhật phải được thực hiện thường xuyên, vì an toàn là một lĩnh vực luôn luôn thay đổi. Ví dụ: các phần mềm diệt vi rút quá hạn rất ít được sử dụng.
PHẦN 4 Các Công cụ Kiểm soát Chính của ISO 17799/ISO 27001 11 công cụ kiểm soát chính
Hệ thống Quản lý An toàn Thông tin Lịch sử Phát triển của ISMS Tháng 7/2005 Cập nhật ISO 17799-2005 Tháng 9/2002 Cập nhật phiên bản BS 7799-2 (đã chỉnh sửa và khắc phục) 2001 Soát xét BS 7799-2 Tháng 12/2000 ISO/IEC 17799:2000 1999 Tiêu chuẩn Thụy Điển SS 62 77 99 Phần 1 và 2 Cập nhật phiên bản BS 7799 Phần 1 và 2 1998 BS 7799 Phần 2 1995 BS 7799 Phần 1
ISO 2700:2005 Phụ lục A (Bắt buộc) Các Mục tiêu và Công cụ Kiểm soát
11 Công cụ Kiểm soát Chính của ISO 27001 Chính sách Tuân thủ An toàn Tổ chức An toàn Thông tin Quản lý Tính liên tục trong Kinh doanh Tính toàn vẹn Tính bảo mật Quản lý Tài sản Quản lý Sự cố An toàn Thông tin Thông tin Thuê mua, Phát Tính sẵn sàng An toàn Triển và Duy trì các Hệ Nhân sự thốngThông tin Kiểm soát Quản lý Truyền thông An toàn Vật lý và Truy cập và Hoạt động Môi trường
Cấu trúc 11 Công cụ Kiểm soát Chính ISO 27001 Tổ chức 1. Chính sách an toàn 2. An toàn tổ chức 3. Phân loại và kiểm soát tài sản 7. Kiểm soát truy cập 11. Tuân thủ 9. Quản lý sự cố 4. An toàn nhân sự 5. An toàn vật lý và môi trường 8. Phát triển và duy 6. Quản lý truyền thông và hoạt 10. Quản lý tính trì hệ thống động liên tục trong kinh doanh Hoạt động
Lựa chọn Công cụ Kiểm soát o Khi đã xác định được các yêu cầu và rủi ro trong an toàn, và quyết định xử lý rủi ro đã được đưa ra, thì các công cụ kiểm soát phù hợp phải được lựa chọn và thực hiện để đảm bảo hạn chế rủi ro đến mức chấp nhận được. o Các công cụ kiểm soát có thể được chọn lựa từ tiêu chuẩn ISO 27001 hoặc từ các bộ công cụ kiểm soát khác, hoặc có thể thiết kế các công cụ kiểm soát mới để đáp ứng các nhu cầu cụ thể nếu phù hợp.
Lựa chọn Công cụ Kiểm soát(tt) o Việc lựa chọn các công cụ kiểm soát an toàn tùy thuộc vào quyết định của tổ chức dựa trên các tiêu chí về chấp nhận rủi ro, các phương án xử lý rủi ro, và phương pháp quản lý rủi ro chung được áp dụng trong tổ chức, và tuân thủ các quy định pháp lý và quy chế quốc gia và quốc tế liên quan.
A.5. CHÍNH SÁCH AN TOÀN
A.5.1 Chính sách An toàn Thông tin Mục tiêu: Cung cấp đường lối quản lý và hỗ trợ cho an toàn thông tin phù hợp với các yêu cầu kinh doanh và các quy định pháp lý và quy định liên quan. A.5.1.1 Tài liệu chính sách an toàn thông tin A.5.1.2 Xem xét chính sách an toàn thông tin
A.6. TỔ CHỨC AN TOÀN THÔNG TIN
A.6.1 Tổ chức Nội bộ Mục tiêu: Quản lý an toàn thông tin trong tổ chức. A.6.1.1 Cam kết của cấp quản lý về an toàn thông tin A.6.1.2 Điều phối an toàn thông tin A.6.1.3 Phân công trách nhiệm về an toàn thông tin A.6.1.4 Quy trình ủy quyền đối với các phương tiện xử lý thông tin A.6.1.5 Các thỏa thuận bảo mật A.6.1.6 Liên hệ với những người có thẩm quyền A.6.1.7 Liên hệ với các nhóm có quyền lợi đặc biệt A.6.1.8 Xem xét độc lập an toàn thông tin
A.6.2 Các Tổ chức Bên ngoài Mục tiêu: Duy trì an toàn thông tin và các phương tiện xử lý thông tin của tổ chức được truy cập, xử lý, truyền thông, hoặc được quản lý bởi các tổ chức bên ngoài. A.6.2.1 Nhận diện các rủi ro liên quan đến các tổ chức bên ngoài A.6.2.2 Xử lý an toàn khi giao dịch với khách hàng A.6.2.3 Xử lý an toàn trong các thỏa thuận với bên thứ ba
A.7. QUẢN LÝ TÀI SẢN
A.7.1 Trách nhiệm đối với Tài sản Mục tiêu: Thiết lập và duy trì việc bảo vệ phù hợp các tài sản của tổ chức. A.7.1.1 Kiểm kê tài sản A.7.1.2 Quyền sở hữu tài sản A.7.1.3 Việc sử dụng tài sản được chấp nhận
A.7.2 Phân loại Thông tin Mục tiêu: Đảm bảo thông tin được bảo vệ ở mức độ phù hợp A.7.2.1 Hướng dẫn phân loại A.7.2.2 Ghi nhãn và xử lý thông tin
A.8 AN TOÀN NHÂN SỰ
A.8.1 Trước khi Nhận việc Mục tiêu: Đảm bảo các nhân viên, nhà thầu và người dùng bên thứ ba hiểu rõ trách nhiệm, phù hợp với vai trò được giao, và giảm thiểu rủi ro bị trộm, lừa đảo hoặc sử dụng thiết bị sai mục đích. A.8.1.1 Vai trò và Trách nhiệm A.8.1.2 Sàng lọc A.8.1.3 Các điều khoản và điều kiện tuyển dụng
A.8.2 Khi đang Làm việc Mục tiêu: Đảm bảo mọi nhân viên, nhà thầu và người dùng bên thứ ba cảnh giác với các đe dọa và quan ngại về an toàn thông tin, hiểu rõ trách nhiệm và nghĩa vụ của họ, và được trang bị để hỗ trợ cho chính sách của tổ chức trong công việc hàng ngày của họ, và giảm thiểu các rủi ro do lỗi con người. A.8.2.1 Trách nhiệm quản lý A.8.2.2 Phổ biến, đào tạo và huấn luyện về an toàn thông tin A.8.2.3 Quy trình kỷ luật
A.8.3 Chấm dứt hoặc Thuyên chuyển Công việc Mục tiêu: Đảm bảo các nhân viên, nhà thầu và người dùng bên thứ ba ra khỏi tổ chức hoặc thuyên chuyển công việc một cách phù hợp. A.8.3.1 Trách nhiệm khi chấm dứt hợp đồng A.8.3.2 Hoàn trả tài sản A.8.3.3 Gỡ bỏ quyền truy cập
A.9. AN TOÀN VẬT LÝ VÀ MÔI TRƯỜNG
A.9.1 Các Khu vực An toàn Mục tiêu: Ngăn ngừa sự truy cập thực tế trái phép, gây thiệt hại hoặc can thiệp vào các địa điểm và thông tin của tổ chức. A.9.1.1 Phạm vi an toàn vật lý A.9.2.2 Kiểm soát người ra vào A.9.1.3 Bảo vệ an toàn cho văn phòng, nhà, xưởng A.9.1.4 Bảo vệ chống các đe dọa bên ngoài và môi trường làm việc A.9.1.5 Làm việc trong các khu vực an toàn A.9.1.6 Truy cập công cộng, các khu vực giao nhận
A.9.2 An toàn Thiết bị Mục tiêu: Ngăn ngừa mất mát, hư hỏng, mất trộm hoặc mất tài sản và gián đoạn các hoạt động của tổ chức. A.9.2.1 Sắp xếp và bảo vệ thiết bị A.9.2.2 Các tiện ích hỗ trợ A.9.2.3 An toàn cáp mạng A.9.2.4 Bảo trì thiết bị A.9.2.5 An toàn thiết bị ngoài cơ sở A.9.2.6 Tiêu hủy hoặc tái sử dụng thiết bị an toàn A.9.2.7 Di chuyển tài sản
A.10. QUẢN LÝ TRUYỀN THÔNG VÀ HOẠT ĐỘNG
A.10.1 Thủ tục Vận hành và Trách nhiệm Mục tiêu: Đảm bảo việc vận hành đúng và an toàn đối với các phương tiện xử lý thông tin. A.10.1.1 Các thủ tục vận hành được lập tài liệu A.10.1.2 Quản lý thay đổi A.10.1.3 Phân chia trách nhiệm A.10.1.4 Phân chia giữa các thiết bị phát triển, thử nghiệm và vận hành
A.10.2 Quản lý Dịch vụ của Bên thứ Ba Mục tiêu: Thực hiện và duy trì cấp độ an toàn thông tin phù hợp và cung cấp dịch vụ theo đúng các thỏa thuận cung cấp dịch vụ với bên thứ ba. A.10.2.1 Cung cấp dịch vụ A.10.2.2 Theo dõi và xem xét các dịch vụ của bên thứ ba A.10.2.3 Quản lý các thay đổi đối với các dịch vụ của bên thứ ba
A.10.3 Lập kế hoạch và Phê duyệt Hệ thống Mục tiêu: Giảm thiểu các rủi ro hư hỏng của hệ thống. A.10.3.1 Quản lý năng lực A.10.3.2 Phê duyệt hệ thống
A.10.4 Bảo vệ Chống Mã Độc hại và Di động Mục tiêu: Bảo vệ tính toàn vẹn của phần mềm và thông tin. A.10.4.1 Các công cụ kiểm soát chống mã độc hại A.10.4.2 Các công cụ kiểm soát chống mã di động
A.10.5 Sao lưu dự phòng Mục tiêu: Duy trì tính toàn vẹn và tính sẵn sàng của thông tin và các phương tiện xử lý thông tin. A.10.5.1 Sao lưu dự phòng thông tin
A.10.6 Quản lý An toàn Mạng Mục tiêu: Đảm bảo việc bảo vệ thông tin trong mạng và bảo vệ việc hỗ trợ cơ sở hạ tầng. A.10.6.1 Các công cụ kiểm soát mạng A.10.6.2 An toàn các dịch vụ mạng
A.10.7 Quản lý Phương tiện truyền thông Mục tiêu: Ngăn ngừa việc tiết lộ, sửa đổi, di chuyển hoặc hủy bỏ trái phép các tài sản và sự gián đoạn của các hoạt động kinh doanh. A.10.7.1 Quản lý các phương tiện truyền thông di động A.10.7.2 Hủy bỏ các phương tiện truyền thông A.10.7.3 Các quy trình quản lý thông tin A.10.7.4 An toàn tài liệu hệ thống
A.10.8 Trao đổi Thông tin Mục tiêu: Duy trì an toàn thông tin và phần mềm được trao đổi trong nội bộ tổ chức và với bên ngoài. A.10.8.1 Các chính sách và thủ tục trao đổi thông tin A.10.8.2 Các thỏa thuận trao đổi thông tin A.10.8.3 Di chuyển phương tiện truyền thông A.10.8.4 Tin nhắn điện tử A.10.8.5 Các hệ thống thông tin trong kinh doanh
A.10.9 Dịch vụ Thương mại Điện tử Mục tiêu: Đảm bảo an toàn cho các dịch vụ thương mại điện tử và việc sử dụng an toàn các dịch vụ này. A.10.9.1 Thương mại điện tử A.10.9.2 Các giao dịch trực tuyến A.10.9.3 Các thông tin công khai
A.10.10 Theo dõi Mục tiêu: Phát hiện các hoạt động xử lý thông tin trái phép. A.10.10.1 Kiểm tra ghi nhật ký truy cập A.10.10.2 Theo dõi việc sử dụng hệ thống A.10.10.3 Bảo vệ các thông tin nhật ký truy cập A.10.10.4 Nhật ký truy cập của người quản trị và người vận hành A.10.10.5 Ghi nhật ký truy cập giả mạo A.10.10.6 Đồng bộ hóa Xung đồng hồ
A.11 KIỂM SOÁT TRUY CẬP
A.11.1 Các Yêu cầu Kinh doanh đối với việc Kiểm soát Truy cập Mục tiêu: Kiểm soát việc truy cập thông tin A.11.1.1 Chính sách kiểm soát truy cập Kiểm soát Phải thiết lập một chính sách kiểm soát truy cập, soạn thành tài liệu và soát xét trên cơ sở các yêu cầu kinh doanh và an toàn.
A.11.2 Quản lý Truy cập của Người dùng Mục tiêu: Đảm bảo việc truy cập được phép của người dùng và ngăn ngừa việc truy cập trái phép vào các hệ thống thông tin. A.11.2.1 Đăng ký người dùng A.11.2.2 Quản lý quyền ưu tiên A.11.2.3 Quản lý mật khẩu người dùng A.11.2.4 Soát xét các quyền truy cập của người dùng
A.11.3 Trách nhiệm của Người dùng Mục tiêu: Ngăn ngừa việc truy cập trái phép của người dùng, việc thỏa hiệp hoặc lấy trộm thông tin và các phương tiện xử lý thông tin. A.11.3.1 Sử dụng mật khẩu A.11.3.2 Thiết bị của người dùng để bất cẩn A.11.3.3 Chính sách Sạch bàn và Sạch màn hình
A.11.4 Kiểm soát Truy cập Mạng Mục tiêu: Ngăn ngừa truy cập trái phép vào các dịch vụ kết nối mạng. A.11.4.1 Chính sách sử dụng các dịch vụ mạng A.11.4.2 Sử dụng quyền xác thực cho các kết nối ngoài A.11.4.3 Nhận diện thiết bị trong mạng A.11.4.4 Chẩn đoán từ xa và bảo vệ cổng cấu hình A.11.4.5 Phân đoạn trong mạng A.11.4.6 Kiểm soát kết nối mạng A.11.4.7 Kiểm soát định tuyến mạng
A.11.5 Kiểm soát Truy cập Hệ điều hành Mục tiêu: Ngăn ngừa truy cập trái phép vào các hệ điều hành. A.11.5.1 Thủ tục đăng nhập an toàn A.11.5.2 Nhận diện và xác thực người dùng A.11.5.3 Hệ thống quản lý mật khẩu A.11.5.4 Sử dụng các tiện ích hệ thống A.11.5.5 Thời gian kết thúc phiên truy cập (time-out) A.11.5.6 Giới hạn thời gian kết nối
A.11.6 Kiểm soát Truy cập vào Ứng dụng và Thông tin Mục tiêu: Ngăn ngừa truy cập trái phép vào các thông tin được lưu trữ trong các hệ thống ứng dụng. A.11.6.1 Hạn chế truy cập thông tin A.11.6.2 Cách ly các hệ thống nhạy cảm
A.11.7 Máy vi tính Di động và Làm việc Từ xa Mục tiêu: Đảm bảo an toàn thông tin khi sử dụng máy vi tính di động và các thiết bị làm việc từ xa. A.11.7.1 Máy vi tính di động và trao đổi thông tin A.11.7.2 Làm việc từ xa
A.12 THU THẬP, PHÁT TRIỂN VÀ DUY TRÌ HỆ THỐNG THÔNG TIN
A.12.1 Các Yêu cầu An toàn của Hệ thống thông tin Mục tiêu: Đảm bảo an toàn là một phần không thể tách rời của hệ thống thông tin. A.12.1.1 Các yêu cầu an toàn của hệ thống thông tin
A.12.2 Xử lý Phù hợp trong các Ứng dụng Mục tiêu: Ngăn ngừa các sai sót, mất mát, sửa đổi trái phép hoặc sử dụng sai mục đích thông tin trong các ứng dụng. A.12.2.1 Kiểm tra dữ liệu đầu vào A.12.2.2 Kiểm soát quy trình xử lý nội bộ A.12.2.3 Tính toàn vẹn của thông tin A.12.2.4 Kiểm tra dữ liệu đầu ra
A.12.3 Kiểm soát bằng Mật mã Mục tiêu: Bảo vệ tính bảo mật, tính xác thực hoặc tính toàn vẹn của thông tin bằng các phương tiện mã hóa. A.12.3.1 Chính sách sử dụng các công cụ kiểm soát mã hóa A.12.3.2 Quản lý chìa khóa
A.12.4 An toàn các Tập tin Hệ thống Mục tiêu: Đảm bảo an toàn các tập tin hệ thống. A.12.4.1 Kiểm soát các phần mềm điều hành A.12.4.2 Bảo vệ các dữ liệu kiểm tra hệ thống A.12.4.3 Kiểm soát truy cập vào mã nguồn chương trình
A.12.5 An toàn trong các Quy trình Phát triển và Hỗ trợ Mục tiêu: Duy trì an toàn các thông tin và phần mềm hệ thống ứng dụng. A.12.5.1 Các thủ tục kiểm soát thay đổi A.12.5.2 Xem xét kỹ thuật của các ứng dụng sau khi thay đổi hệ điều hành A.12.5.3 Hạn chế thay đổi trong các gói phần mềm A.12.5.4 Rò rỉ thông tin A.12.5.5 Gia công phần mềm thuê ngoài
A.12.6 Quản lý các Lỗ hổng Kỹ thuật Mục tiêu: Giảm thiểu các rủi ro liên quan đến việc khai thác các lỗ hổng kỹ thuật đã được công bố. 12.6.1 Kiểm soát các lỗ hổng kỹ thuật
A.13 QUẢN LÝ SỰ CỐ AN TOÀN THÔNG TIN
A.13.1 Báo cáo các Sự kiện và Điểm yếu trong An toàn Thông tin Mục tiêu: Đảm bảo các sự kiện và các điểm yếu trong an toàn thông tin của các hệ thống thông tin được báo cáo theo một quy trình giúp có thể áp dụng hành động khắc phục kịp thời. A.13.1.1 Báo cáo các sự kiện an toàn thông tin A.13.1.2 Báo cáo các điểm yếu trong an toàn
A.13.2 Quản lý các Sự cố và Cải tiến An toàn Thông tin Mục tiêu: Đảm bảo có một phương pháp nhất quán và hiệu quả được áp dụng để quản lý an toàn thông tin. A.13.2.1 Trách nhiệm và các thủ tục A.13.2.2 Rút kinh nghiệm từ các sự cố về an toàn thông tin A.13.2.3 Thu thập các bằng chứng
A.14 QUẢN LÝ TÍNH LIÊN TỤC TRONG KINH DOANH
A.14.1 Các Khía cạnh An toàn Thông tin của việc Quản lý Tính liên tục trong Kinh doanh Mục tiêu: Đối phó với sự gián đoạn các hoạt động kinh doanh và bảo vệ các quy trình kinh doanh quan trọng trước các tác động của việc các hệ thống thông tin bị sập nghiêm trọng hoặc các thảm họa và đảm bảo phục hồi hệ thống kịp thời. 14.1.1 Đưa an toàn thông tin vào quy trình quản lý tính liên tục trong kinh doanh (BCM) 14.1.2 Tính liên tục trong kinh doanh và đánh giá rủi ro 14.1.3 Phát triển và duy trì các kế hoạch về tính liên tục có yếu tố an toàn thông tin 14.1.4 Sơ đồ lập kế hoạch kinh doanh liên tục 14.1.5 Kiểm tra, duy trì và đánh giá lại các kế hoạch kinh doanh liên tục
A.15 TUÂN THỦ
A.15.1 Tuân thủ các yêu cầu luật pháp Mục tiêu: Ngăn ngừa các vi phạm luật pháp, quy định, quy chế hoặc các nghĩa vụ hợp đồng và bất kỳ yêu cầu an toàn thông tin nào. 15.1.1 Nhận diện các quy định pháp lý liên quan 15.1.2 Quyền sở hữu trí tuệ (IPR) 15.1.3 Bảo vệ các hồ sơ của tổ chức 15.1.4 Bảo vệ dữ liệu và tính bảo mật của thông tin cá nhân 15.1.5 Ngăn ngừa việc sử dụng sai mục đích các phương tiện xử lý thông tin 15.1.6 Quy định về các công cụ kiểm soát mã hóa
A.15.2 Tuân thủ các Chính sách và tiêu chuẩn An toàn, Kiểm tra Sự phù hợp về mặt Kỹ thuật Mục tiêu: Đảm bảo sự phù hợp của hệ thống với các chính sách và tiêu chuẩn an toàn của tổ chức. 15.2.1 Tuân thủ các chính sách và tiêu chuẩn an toàn 15.2.2 Kiểm tra sự phù hợp về mặt kỹ thuật
A.15.3 Các Điểm lưu ý khi Đánh giá các Hệ thống Thông tin Mục tiêu: Tối đa hóa hiệu quả và giảm thiểu các tác động của việc đánh giá hệ thống thông tin 15.3.1 Kiểm soát việc đánh giá các hệ thống thông tin 15.3.2 Bảo vệ các công cụ đánh giá hệ thống thông tin
Tài liệu tham khảo ISMS hệ thống quản lý an toàn thông tin – Bộ công cụ người thực hiện – công ty ECCI International www.sciencedirect.com