Quản lý rủi ro và bảo mật - Phần 1: Giới thiệu về an toàn thông tin - Trương Việt Phương

ppt 158 trang phuongnguyen 3990
Bạn đang xem 20 trang mẫu của tài liệu "Quản lý rủi ro và bảo mật - Phần 1: Giới thiệu về an toàn thông tin - Trương Việt Phương", để tải tài liệu gốc về máy bạn click vào nút DOWNLOAD ở trên

Tài liệu đính kèm:

  • pptquan_ly_rui_ro_va_bao_mat_phan_1_gioi_thieu_ve_an_toan_thong.ppt

Nội dung text: Quản lý rủi ro và bảo mật - Phần 1: Giới thiệu về an toàn thông tin - Trương Việt Phương

  1. QUẢN LÝ RỦI RO VÀ BẢO MẬT Trương Việt Phương Khoa Tin học Quản lý Đại học Kinh Tế Tp.HCM vietphuongtruong@yahoo.com
  2. PHẦN 1 Giới thiệu về an toàn Thông tin Thông tin là gì? Cơ sở hạ tầng CNTT An toàn thông tin Các rủi ro của hệ thống thông tin ISMS ISO 27001
  3. Giới thiệu – Thông tin là gì? Đối với một đối tượng hay hệ thống: ⚫ Dữ liệu (data): Là các số liệu hay tài liệu cho trước chưa được xử lý. ⚫ Thông tin (information): Là dữ liệu đã được xử lý và có ý nghĩa đối với đối tượng nhận tin.
  4. Thông tin là gì? Thông tin là tài sản, cũng như các tài sản kinh doanh quan trọng khác, có giá trị đối với một tổ chức và thường cần được bảo vệ một cách thích hợp. Nguồn: ISO/IEC 17799
  5. Tầm quan trọng của Thông tin Thông tin là yếu tố cần thiết để duy trì lợi nhuận, dòng tiền mặt, lợi thế cạnh tranh và hình ảnh thương mại Ngày càng tăng sự phụ thuộc vào các hệ thống thông tin Thông tin là tài sản cũng như tài sản nguồn vốn và tài sản con người
  6. Thông tin Được lưu trữ trong Máy vi tính Được truyền qua mạng Được in hoặc viết ra giấy Được gửi bằng fax Được lưu trữ trong băng hoặc đĩa Được truyền đạt qua giao tiếp (kể cả điện thoại) Được hiển thị trên phim ảnh hoặc trình chiếu
  7. Các Mối đe dọa đối với Thông tin Tai nạn và Thảm họa Nhân viên Các nhà tư vấn Đối tác Kinh doanh Người ngoài Máy vi tính (PC) và Vi rút
  8. Phân loại thông tin
  9. Giới thiệu
  10. Nền tảng căn bản về Cơ sở hạ tầng CNTT là gì? đầu tư cho khả năng của CNTT (cả về mặt kỹ thuật và con người), được chia sẻ trong toàn doanh nghiệp nhờ vào các dịch vụ tin cậy và việc điều phối tập trung.
  11. Cơ sở hạ tầng Công nghệ Thông tin Mới
  12. Các Ứng dụng của Cơ sở hạ tầng Công nghệ Thông tin Thu thập Dữ liệu Phân tích, Rút gọn và Báo cáo Dữ liệu Phân tích Thống kê Kiểm soát quy trình Kiểm tra và Giám sát Tự động Thiết kế Hệ thống Quản lý Tài liệu
  13. Các Ứng dụng của Cơ sở hạ tầng Công nghệ Thông tin Trong thương mại Trong quản lý công Trong giáo dục Trong dịch vụ truyền thông Trong học tập, nghiên cứu Trong giải trí
  14. Thách thức của việc Quản lý Cơ sở hạ tầng CNTT
  15. Thách thức của việc Quản lý Cơ sở hạ tầng CNTT
  16. An toàn Thông tin là gì? Theo tiêu chuẩn ISO 27001, An toàn Thông tin được định nghĩa là việc bảo vệ: ⚫ Tính bảo mật ⚫ Tính toàn vẹn ⚫ Tính sẵn sàng Ngoài ra, các thuộc tính khác như tính xác thực, tính trách nhiệm, tính thừa nhận và độ tin cậy cũng được đưa vào định nghĩa.
  17. Ba Khía cạnh của An toàn Thông tin
  18. Nội dung Quản lý An toàn Thông tin Công chúng Quản lý Nội Người bộ dùng Tính toàn vẹn Tính bảo mật Nhân viên Rủi ro Tranh chấp Tính sẵn sàng Các Chủ thể Đánh giá Nội liên đới bộ
  19. An toàn Thông tin Thách thức Quản lý hay Vấn đề Kỹ thuật? ▪Hệ thống, Công cụ, Cấu trúc, v.v 20% 80% Quản lý Công nghệ •Chính sách An toàn Thông tin •Trách nhiệm An toàn Thông tin •Phổ biến/Huấn luyện An toàn Thông tin •Kế hoạch Kinh doanh Liên tục
  20. An toàn thông tin phải được coi là vấn đề quản lý và là thách thức kinh doanh, không đơn thuần chỉ là vấn đề kỹ thuật được giao cho các chuyên gia. Để bảo đảm an toàn cho việc kinh doanh, cần phải hiểu cả sự cố và giải pháp.
  21. Tại sao phải An toàn Thông tin? Bảo vệ thông tin khỏi những mối đe dọa Bảo đảm tính liên tục trong kinh doanh Tối đa hóa lợi nhuận đầu tư và các cơ hội kinh doanh Đây là một vấn đề kinh doanh!
  22. Làm cách nào để Đảm bảo An toàn Thông tin? Đảm bảo an toàn thông tin bằng cách thực hiện một nhóm công cụ kiểm soát thích hợp, có thể bao gồm các chính sách, thực hành, thủ tục, cơ cấu tổ chức và các chức năng phần mềm. Các công cụ kiểm soát này cần phải được thiết lập để đảm bảo đáp ứng các mục tiêu an toàn cụ thể của tổ chức.
  23. Tìm hiểu các Đe dọa, Lỗ hổng và Rủi ro
  24. Tìm hiểu các Đe dọa, Lỗ hổng và Rủi ro
  25. Các Đe dọa, Rủi ro và Lỗ hổng Khai thác Đe dọa Lỗ hổng Bảo vệ Tấn chống công Risk Kiểm soát Giảm Tài sản Đáp ứng Có bằng Các Yêu cầu Giá trị An toàn Tài sản Ảnh hưởng đến Tổ chức
  26. Kiểm soát An toàn Đe dọa Kiểm soát Kiểm soát Ngăn chặn Khắc phục Tạo ra Giảm Khả năng Kiểm soát Tấn Lỗ hổng Phát hiện Phát hiện công Khai thác Khởi động Dẫn đến Bảo vệ Giảm Kiểm soát Tác động Phòng ngừa Giảm
  27. Đánh giá và Quản lý Rủi ro Tài sản là những gì mà tổ chức trực tiếp gán giá trị cho nó và do đó cần phải được bảo vệ. ⚫ Tài sản Thông tin ⚫ Tài sản Phần mềm ⚫ Tài sản Vật chất ⚫ Dịch vụ Những tài sản này phải nằm trong phạm vi của Hệ thống Quản lý An toàn Thông tin (ISMS).
  28. Đánh giá và Quản lý Rủi ro Theo ISO 27001, “tài sản” không nhấtthi ết phải bao gồm tất cả những gì thường được coi là có giá trị trong tổ chức. Tổ chức phải xác định tài sản nào có thể ảnh hưởng quan trọng đến việc tạo ra sản phẩm/dịch vụ khi bị thiếu hoặc bị hư hỏng; hoặc dẫn đến thiệt hại cho tổ chức do mất đi tính bảo mật hoặc tính toàn vẹn.
  29. Đánh giá và Quản lý Rủi ro Một số ví dụ: ⚫ Tài sản Thông tin – cơ sở dữ liệu, bản sao điện tử ⚫ Tài liệu Giấy – hợp đồng, hồ sơ nhân sự, hóa đơn, sổ tay hướng dẫn ⚫ Tài sản Phần mềm – phần mềm ứng dụng, hệ điều hành, công cụ phát triển, chương trình tiện ích ⚫ Tài sản Vật chất – máy vi tính, máy chủ, hub, tường lửa, thiết bị thông tin liên lạc, lưu trữ dữ liệu, kệ tủ, két sắt, phòng ốc, đồ nội thất ⚫ Con người – nhân sự, khách hàng, người thuê bao, nhà thầu, lao công, bảo vệ ⚫ Dịch vụ – viễn thông, sưởi, máy điều hòa, chiếu sáng, máy phát điện, bộ lưu điện UPS, chuông báo cháy, chuông chống trộm ⚫ Hình ảnh/uy tín công ty – điều tiếng xấu, lỗi giao hàng
  30. Đánh giá và Quản lý Rủi ro Tài sản phải được xác định và phải được thiết lập quyền sở hữu. Cũng phải thiết lập một giá trị tương đối cho mỗi tài sản để có thể xác định mức độ quan trọng khi định lượng rủi ro.
  31. Đánh giá và Quản lý Rủi ro Tùy vào dạng thiệt hại / hư hỏng ⚫ Thiệt hại tài chính ⚫ Thiệt hại doanh thu / thị phần ⚫ Tính sẵn sàng và sự gián đoạn hoạt động của dịch vụ ⚫ Khả năng và năng suất xử lý ⚫ Thiệt hại hình ảnh và uy tín
  32. Đánh giá và Quản lý Rủi ro Đe dọa là khả năng gây ra một sự cố không mong muốn, có thể dẫn đến việc hư hỏng cho một hệ thống hoặc một tổ chức và các tài sản của tổ chức. ⚫ Có thể thuộc về môi trường (như bão lụt), kỹ thuật (như sập máy chủ), hoặc con người (như biểu tình). ⚫ Có thể từ bên ngoài hoặc bên trong. ⚫ Có thể do chủ ý hoặc vô ý. Tài sản chịu nhiều hình thức đe dọa bị khai thác các lỗ hổng.
  33. Đánh giá và Quản lý Rủi ro Đe dọa khai thác hoặc lợi dụng các lỗ hổng của tài sản để tạo ra rủi ro. ⚫ Các mối đe dọa đối với tài sản phải được nhận diện. ⚫ Có thể có nhiều mối đe dọa đối với mỗi tài sản. Việc nhận diện các mối đe dọa phải mang tính thực tế. ⚫ Chỉ những đe dọa có xác suất đáng kể hoặc đặc biệt nguy hại mới cần được xem xét.
  34. Đánh giá và Quản lý Rủi ro Một số ví dụ: ⚫ Truy cập Ngẫu nhiên – dữ liệu để bừa bãi, để lộ hoặc bị nhìn thấyd ữ liệu trên màn hình máy vi tính, xem trên phương tiện giao thông công cộng ⚫ Nhân viên và Cán bộ Bất mãn – Họ thường dễ nhận thấy lỗ hổng trong hệ thống của tổ chức. Họ có thể hành động vì lợi ích cá nhân hoặc để trả thù. ⚫ Kẻ trộm Máy vi tính – Máy tính xách tay dễ bị trộm khi trông coi thiếu cẩn thận. ⚫ Kẻ Buôn bán Thông tin và Tội phạm có Tổ chức – Tình báo Công nghiệp, tống tiền ⚫ Hacker Máy vi tính – tự thử thách hoặc vì mục đích tài chính ⚫ Báo chí – Các Phóng viên Điều tra có thể khai thác thông tin ⚫ Tình báo Kinh tế – trộm cắp công nghệ, bí quyết, công thức, phá hoại ⚫ Lễ hội/Kỳ nghỉ – Nhân viên quản trị hệ thống nghỉ làm ⚫ Các Tổ chức Khủng bố – Những kẻ cực đoan
  35. Đánh giá và Quản lý Rủi ro
  36. Đánh giá và Quản lý Rủi ro
  37. Đánh giá và Quản lý Rủi ro Lỗ hổng là điểm yếu hoặc là lỗ hổng trong an toàn thông tin của tổ chức. ⚫ Tự thân lỗ hổng không thể gây thiệt hại, mà chủ yếu nó là một điều kiện hoặc nhóm điều kiện cho phép các mối đe dọa tác động đến tài sản. ⚫ Nếu không được quản lý, nó có thể làm cho các mối đe dọa trở thành hiện thực. ⚫ Chẳng hạn như thiếu nhân sự chủ chốt, mạng lưới điện không ổn định, thiếu ý thức về an toàn, mật khẩu sai, cửa không khóa.
  38. Đánh giá và Quản lý Rủi ro Lỗ hổng là những khiếm khuyết được phát hiện trong tài sản, các mối đe dọa có thể bị khai thác những khiếm khuyết này để tạo ra rủi ro. Một tài sản có thể có nhiều lỗ hổng.
  39. Đánh giá và Quản lý Rủi ro Một số ví dụ: ⚫ Các Hệ thống Báo động ⚫ Hệ thống Thư thoại Gọi đến ⚫ Cặp tài liệu/Túi xách Bất cẩn ⚫ Kệ tủ ⚫ Máy vi tính ⚫ Đàm thoại ⚫ Các Liên kết Dữ liệu ⚫ Nhân sự ⚫ Bưu phẩm/Thư từ
  40. Đánh giá và Quản lý Rủi ro
  41. Đánh giá và Quản lý Rủi ro Đe dọa và Lỗ hổng: An toàn Nhân sự Lỗ hổng Đe dọa Công việc của người ngoài Trộm không được giám sát Không huấn luyện an toàn đầy Lỗi do nhân viên hỗ trợ vận đủ hành Phần mềm được lập tài liệu Lỗi do nhân viên hỗ trợ vận kém hành Thiếu cơ chế theo dõi Sử dụng thiết bị không đúng mục đích cho phép Thiếu chính sách sử dụng Sử dụng thiết bị không đúng internet / e-mail phù hợp mục đích cho phép
  42. Đánh giá và Quản lý Rủi ro Xác suất của mỗi tổ hợp đe dọa/lỗ hổng Các tổ hợp không có ý nghĩa quan trọng theo thống kê nên được bỏ qua.
  43. Đánh giá và Quản lý Rủi ro Thiệt hại (đôi khi còn được gọi là tác động) có thể được định lượng bằng con số để phản ảnh mức độ thiệt hại của một lần khai thác thành công. Giá trị định lượng này được tính trên thang đo mức độ nghiêm trọng tương đối của một rủi ro cho trước không phụ thuộc vào xác suất của nó.
  44. Đánh giá và Quản lý Rủi ro Đánh giá và giảm nhẹ rủi ro là mục tiêu của ISMS. Một rủi ro an toàn là khả năng một mối đe dọa biết trước sẽ khai thác các lỗ hổng để gây ra các thiệt hại/hư hỏng cho tài sản. Nó là một hàm tính mức tác động của một sự kiện không mong muốn và xác suất xảy ra sự kiện đó.
  45. Đánh giá và Quản lý Rủi ro Đánh giá Rủi ro là đánh giá các mối đe dọa, các tác động và các lỗ hổng đối với tài sản và khả năng xảy ra của chúng. Đánh giá đưa ra dự báo về rủi ro đối với một tài sản tại một thời điểm nhất định. Đánh giá trên trả lời cho các câu hỏi sau: ⚫ Sai sót nào có thể xảy ra? ⚫ Mức độ tồi tệ của nó như thế nào? ⚫ Xác suất xảy ra ra sao? ⚫ Làm cách nào để quản lý nó?
  46. Đánh giá và Quản lý Rủi ro Đánh giá và Quản lý Rủi ro Quy trình đánh giá và quản lý Rủi ro (1) Xác định và Định giá Tài sản Nhận diện các Lỗ hổng Nhận diện các Mối đe dọa Đánh giá Các rủi ro Mức tác động Kinh doanh Đánh giá/Xếp hạng Mức độ các Rủi ro Chấp nhận Rủi ro
  47. Đánh giá và Quản lý Rủi ro Đánh giá và Quản lý Rủi ro Rà soát các Công cụ Quy trình Đánh giá và Quản lý Rủi ro (2) Kiểm soát An toàn Hiện hữu Xác định các Công cụ Kiểm soát An toàn Mới Chính sách và Thủ tục Phân tích các Sai sót Chấp nhận Rủi ro Thực hiện và (Các Rủi ro Tồn đọng) Giảm thiểu Rủi ro
  48. Đánh giá và Quản lý Rủi ro Các Công cụ Kiểm soát An toàn Đo lường để Phòng ngừa, Phát hiện hoặc Giảm thiểu Rủi ro. An toàn hiệu quả thường đòi hỏi sự kết hợp của các yếu tố sau: •Phát hiện •Khắc phục •Ngăn chặn •Phục hồi •Phòng ngừa •Theo dõi •Hạn chế •Nhận thức
  49. Hệ thống Quản lý An toàn Thông tin Hệ thống Quản lý Kinh doanh Môi trường An toàn Chất lượng Thông tin Hệ thống Quản lý Con người Rủi ro Kinh doanh Sức khỏe và Cải tiến An toàn
  50. Hệ thống Quản lý An toàn Thông tin Hệ thống Quản lý An toàn Thông tin (ISMS) là gì? là một phần của hệ thống quản lý chung, được dựa trên phương pháp về rủi ro trong kinh doanh, để thiết lập, thực hiện, vận hành, theo dõi, rà soát, duy trì và cải thiện hệ thống an toàn thông tin. LƯU Ý: Hệ thống quản lý bao gồm: cơ cấu tổ chức, chính sách, kế hoạch hành động, trách nhiệm, thực hành, thủ tục, quy trình và nguồn lực.
  51. Hệ thống Quản lý An toàn Thông tin ISO 17799 / ISO 27001 là gì? Là một bộ công cụ kiểm soát được thiết lập trên cơ sở các thực hành tốt nhất về an toàn thông tin; Là một tiêu chuẩn quốc tế bao hàm mọi lĩnh vực của an toàn thông tin: ⚫ Thiết bị ⚫ Chính sách quản lý ⚫ Nguồn nhân lực ⚫ Pháp lý
  52. Hệ thống Quản lý An toàn Thông tin ISO 17799 là gì? ISO/IEC 17799:2005 đưa ra các hướng dẫn và nguyên tắc chung để khởi động, thực hiện, duy trì và cải tiến việc quản lý an toàn thông tin trong tổ chức. Các mục tiêu trong tiêu chuẩn là hướng dẫn chung cho các mục đích được chấp nhận rộng rãi của việc quản lý an toàn thông tin.
  53. Hệ thống Quản lý An toàn Thông tin ISO 27001 là gì? ISO/IEC 27001:2005 quy định các yêu cầu của việc thiết lập, thực hiện, vận hành, theo dõi, rà soát, duy trì và cải tiến một Hệ thống Quản lý An toàn Thông tin được lập tài liệu trong môi trường có các rủi ro kinh doanh chung của tổ chức. Nó quy định các yêu cầu đối với việc thực hiện các công cụ kiểm soát an toàn được điều chỉnh phù hợp với từng tổ chức hoặc bộ phận của tổ chức.
  54. Hệ thống Quản lý An toàn Thông tin Ai cần ISMS? Mọi tổ chức, công ty, doanh nghiệp có xử lý thông tin: CĂN BẢN LÀ TẤT CẢ MỌI NGƯỜI!!!!!!!!!!!!!!! ⚫ Ngân hàng ⚫ Công ty CNTT và phát triển phần mềm ⚫ Chính quyền (ví dụ: cơ quan thuế) ⚫ Công ty Tư vấn ⚫ Bệnh viện ⚫ Trường học, Đại học ⚫ Công ty Bảo hiểm ⚫ Các Tổ chức Chứng nhận (CSP) ⚫ . chỉ là một số ít điển hình!
  55. Hệ thống Quản lý An toàn Thông tin Tại sao một tổ chức cần áp dụng ISMS? ISO 27001 đưa ra giải pháp tốt nhất về Quản lý An toàn Thông tin Nếu không có một Hệ thống Quản lý An toàn Thông tin (ISMS) chính thức như hệ thống theo ISO 27001, thì an toàn sẽ bị vi phạm – sớm hay muộn. Điều cần thiết nhất của việc An toàn Thông tin là một quy trình quản lý, không phải là một quy trình kỹ thuật.
  56. PHẦN 2 Hệ thống Quản lý An toàn Thông tin ISO 27001
  57. Hệ thống Quản lý An toàn Thông tin Hệ thống Tiêu chuẩn ISO 27000 ISO 27001 - Là tiêu chuẩn quy định các yêu cầu của hệ thống ISMS, tiền thân là BS 7799 Phần 2:2002, chứng nhận cho các tổ chức. Bản dự thảo của ISO 27001 được phát hành đầu tháng 6/2005. ISO 27002 (hiện nay là ISO 17799:2005) – Quy phạm Thực hành, là một tập hợp các mục tiêu kiểm soát an toàn thông tin và một danh mục các công cụ thực hành kiểm soát an toàn tốt nhất. Phiên bản 2005 của ISO 17799 được phát hành tháng 6/2005. Phiên bản mới vừa được ban hành (2006/2007).
  58. Hệ thống Quản lý ISO 27001 Cấu trúc ISO 27001:2005 1. Phạm vi 2. Tiêu chuẩn Viện dẫn 3. Thuật ngữ và Định nghĩa 4. Hệ thống Quản lý An toàn Thông tin 4.1 Các Yêu cầu Chung 4.2 Thiết lập và Quản lý ISMS 4.3 Các Yêu cầu về Tài liệu 5. Trách nhiệm Quản lý 6. Đánh giá Nội bộ ISMS 7. Rà Soát ISMS ở Cấp quản lý 8. Cải tiến ISMS 9. Phụ lục A, B, C và D
  59. Hệ thống Quản lý ISO 27001 Cơ cấu Quản lý ISO 27001:2005 (1) Bước 1 Chính sách Xác định Chính sách Bước 2 Xác định Phạm vi của Phạm vi ISMS Hệ thống ISMS Bước 3 Đe dọa, Lỗ Tổ chức Đánh giá Đánh giá Rủi ro hổng, Xác Rủi ro suất, Tác động Kết quả và Kết luận
  60. Hệ thống Quản lý ISO 27001 Cơ cấu Quản lý ISO 27001:2005 (2) Bước 4 Kết quả và Kết luận Phương pháp riêng của tổ chức để quản lý Quản lý Rủi ro rủi ro và mức độ đảm bảo Bước 5 Các mục tiêu Chọn Công cụ Công cụ Kiểm và công cụ Kiểm soát soát Được chọn kiểm soát Bước 6 Các mục tiêu và công cụ kiểm soát được chọn Soạn thảo Thông cáo SOA Áp dụng (SOA)
  61. Quy trình Áp dụng Mô hình PDCA vào ISMS Các yêu cầu và mong muốn về an toàn thông tin Lập kế hoạch thiết lập hệ thống ISMS Thực hiện thực hiện và vận hành hệ thống ISMS Cải tiến duy trì và cải tiến hệ thống ISMS Kiểm tra theo dõi và rà soát hệ thống ISMS an toàn thông tin được quản lý
  62. Các Yêu cầu của Hệ thống Quản lý ISO 27001 Lập kế hoạch Thiết lập hệ thống ISMS Chu trình thiết lập, Thực hiện duy trì và cải tiến Cải tiến Thực hiện và vận Duy trì và cải hành hệ thống tiến hệ thống ISMS ISMS Kiểm tra Theo dõi và rà soát hệ thống ISMS Phương pháp Thực hiện theo Quy trình
  63. Các Yêu cầu của Hệ thống Quản lý ISO 27001 Lập kế hoạch Thiết lập hệ thống ISMS a) Xác định phạm vi của ISMS b) Đề ra một chính sách ISMS c) Xác định một phương pháp đánh giá rủi ro của tổ chức d) Nhận diện các rủi ro e) Phân tích và đánh giá các rủi ro f) Xác định và đánh giá các giải pháp xử lý rủi ro g) Lựa chọn các mục tiêu và các công cụ kiểm soát để xử lý rủi ro h) Quyết định của cấp quản lý chấp thuận các rủi ro còn tồn đọng i) Nhận ủy quyền của cấp quản lý cho thực hiện và vận hành ISMS j) Soạn thảo Thông cáo Áp dụng
  64. Các Yêu cầu của Hệ thống Quản lý ISO 27001 Lập kế hoạch Thiết lập hệ thống ISMS Thực hiện Thực hiện và vận hành hệ thống ISMS a) Thiết lập kế hoạch xử lý rủi ro b) Thực hiện kế hoạch xử lý rủi ro c) Thực hiện các công cụ kiểm soát được chọn để đáp ứng các mục tiêu kiểm soát d) Quy định cách đo lường sự hiệu quả của các công cụ kiểm soát được chọn e) Thực hiện các chương trình huấn luyện và phổ biến f) Quản lý các hoạt động g) Quản lý nguồn lực cho ISMS g) Thực hiện các thủ tục và các công cụ kiểm soát khác
  65. Các Yêu cầu của Hệ thống Quản lý ISO 27001Lập kế hoạch Thiết lập hệ thống ISMS Thực hiện Thực hiện và vận hành hệ thống ISMS Kiểm tra Theo dõi và rà soát hệ thống ISMS a) Thực hiện các thủ tục theo dõi, soát xét và các công cụ kiểm soát khác b) Tổ chức rà soát định kỳ hiệu quả của ISMS c) Đo lường hiệu quả của các công cụ kiểm soát d) Xem xét các đánh giá rủi ro theo định kỳ e) Tiến hành các đợt đánh giá nội bộ ISMS f) Tổ chức rà soát ISMS ở cấp quản lý g) Cập nhật các kế hoạch an toàn h) Ghi nhận các hoạt động và các sự kiện có thể tác động đến hiệu quả hoặc hiệu năng của ISMS
  66. Các Yêu cầu của Hệ thống Quản lý ISO 27001 Lập kế hoạch Thiết lập hệ thống ISMS Cải tiến Thực hiện Thực hiện và vận hành hệ thống ISMS Kiểm tra Duy trì và cải tiến hệ thống ISMS Theo dõi và rà soát hệ thống a) Thực hiện các cải tiến đã được xác ISMS định b) Thực hiện các hành động khắc phục và phòng ngừa thích hợp c) Thông tin về các hoạt động và cải tiến với tất cả các bên liên quan d) Bảo đảm các cải tiến đạt được mục tiêu đề ra
  67. Lập tài liệu Hệ thống Quản lý ISO 27001 Các chính sách về cơ cấu quản lý liên quan đến ISO 27001 Cấp Sổ tay Hướng độ 1 Chính sách, phạm dẫn An toàn vi đánh giá rủi ro, thông cáo áp dụng Cấp Mô tả các quy trình – ai, cái gì, Thủ tục độ 2 khi nào, ở đâu Hướng dẫn Công việc, danh mục kiểm Cấp Mô tả cách thực hiện các công việc tra, biểu mẫu, v.v độ 3 và hoạt động cụ thể Cấp Cung cấp bằng chứng về việc tuân thủ các độ 4 mục tiêu theo yêu cầu ISMS Hồ sơ
  68. PHẦN 3 Phương pháp Thực hiện ISMS
  69. Phương pháp Thực hiện ISO 27001 Khởi động dự án Quy định ISMS 8 Bước cần tuân thủ khi áp dụng Đánh giá rủi ro tiêu chuẩn ISO 17799 / ISO 27001. Quản lý rủi ro Huấn luyện và phổ biến Chuẩn bị đánh giá Đánh giá Cải tiến liên tục
  70. Phương pháp Thực hiện ISO 27001 Các bước thực Mô tả hiện Khởi động Dự án •Đảm bảo sự cam kết của lãnh đạo cao cấp; •Lựa chọn và huấn luyện các thành viên nhóm khởi động dự án. Xác định ISMS Xác định phạm vi và các giới hạn của cơ cấu (Hệ thống Quản lý quản lý an toàn thông tin là tối quan trọng đối An toàn Thông tin) với sự thành công của dự án. Đánh giá Rủi ro •Xác định và đánh giá các mối đe dọa và lỗ hổng; •Ước tính giá trị của các rủi ro liên quan; •Xác định cấp độ tuân thủ ISO 17799; •Tập hợp và đánh giá các tài sản cần bảo vệ.
  71. Phương pháp Thực hiện ISO 27001 Các bước thực hiện Mô tả Xử lý Rủi ro Hiểu rõ cách lựa chọn và thực hiện đúng các công cụ kiểm soát sẽ giúp tổ chức hạn chế rủi ro đến một mức chấp nhận được. Huấn luyện và Phổ Nhân viên có thể là mắt xích yếu nhất trong hệ biến thống an toàn thông tin của tổ chức. Chuẩn bị Đánh giá Tìm hiểu cách đánh giá cơ cấu quản lý và những việc phải làm trước khi mời các đánh giá viên bên ngoài đến chứng nhận ISO27001. Đánh giá Tìm hiểu thêm về các bước do các đánh giá viên bên ngoài thực hiện và các tổ chức được chứng nhận ISO 27001.
  72. 1.Khởi động Dự án Đây là giai đoạn chuẩn bị của dự án. Để thực hiện dự án thành công, cần phải: ⚫ Có sự Cam kết của Lãnh đạo Cấp cao ⚫ Thành lập hội đồng quản lý dự án
  73. Khởi động Dự án TẠI SAO CẦN PHẢI KHỞI ĐỘNG? Để đảm bảo việc vận dụng hợp lý các chức năng của cơ cấu quản lý an toàn thông tin, cần thiết phải có sự phê duyệt và cam kết của lãnh đạo cấp cao. Không có cam kết của lãnh đạo, việc thực hiện dự án có thể gặp một số khó khăn. Để giảm bớt sự trì hoãn kéo dài, phải đạt được sự cam kết của lãnh đạo cấp cao ở tất cả các cấp độ: điều hành, kỹ thuật, tài chính, và cả cam kết về tiến độ thực hiện.
  74. Khởi động Dự án VAI TRÒ VÀ TRÁCH NHIỆM Hội đồng quản lý dự án thường bao gồm một viên chức quản lý cao cấp, một giám đốc dự án và đại diện của các đơn vị hành chính khác nhau. Giám đốc dự án thường quản lý các hoạt động nghiệp vụ và quy định các thứ tự ưu tiên. Giám đốc dự án phải nắm vững quy trình thực hiện và luôn thường trực. Trong một số tổ chức lớn, Giám đốc An toàn Thông tin (CISO) thực hiện các nhiệm vụ này.
  75. Khởi động Dự án Hội đồng Quản lý của Tổ chức Quản lý việc thực hiện Hội đồng thực thi Nhóm hỗ trợ thực hiện Bảo đảm việc triển Bảo đảm sao lưu dữ liệu và huấn khai và thực hiện luyện nhân viên Nhóm làm việc Nhóm làm việc Triển khai thực hiện Nhóm làm việc Nhóm làm việc Các nhóm làm việc được thành lập khi cần thiết để triển khai các công cụ và các thủ tục. Các nhóm này cũng được sử dụng cho việc thực hiện của các đơn vị hành chính khác.
  76. 2. Quy định ISMS Mục tiêu / Mục Ở góc độ khởi động, phải có quyết định rõ ràng đích về việc áp dụng tiêu chuẩn về tuân thủ hoặc để được chứng nhận ISO 27001. Phạm vi Những đơn vị hành chính và những hoạt động nào sẽ được đưa vào cơ cấu quản lý an toàn thông tin? Câu trả lời cho câu hỏi này là tập hợp tương đối các hoạt động quan trọng nhất của tổ chức. Ranh giới / Giới Các giới hạn của phạm vi áp dụng ISMS được hạn xác định theo: • Các đặc trưng riêng của tổ chức (quy mô, phạm vi phấn đấu, v.v ); • Vị trí của tổ chức; • Tài sản (hệ thống lưu trữ tất cả các thông tin quan trọng); • Công nghệ.
  77. Quy định ISMS Giao tiếp Tổ chức phải tính đến việc giao tiếp với các hệ thống, các tổ chức khác và các nhà cung ứng bên ngoài. Lưu ý: Mọi giao tiếp với các dịch vụ hoặc hoạt động không hoàn toàn nằm trong phạm vi giới hạn của ISMS cần được xem xét trong quá trình nộp đơn xin chứng nhận ISMS và là một phần của việc đánh giá rủi ro an toàn thông tin của tổ chức; ví dụ: việc chia sẻ các thiết bị như máy vi tính, các hệ thống viễn thông, v.v Tính phụ Hệ thống ISMS phải tôn trọng một số yêu cầu an thuộc toàn nhất định. Các yêu cầu này có thể có tính pháp lý hoặc thương mại. Ví dụ: một tổ chức thuộc ngành y tế có thể phải tuân thủ Luật Trách nhiệm Giải trình và Chuyển đổi Bảo hiểm Y tế (HIPAA).
  78. Quy định ISMS Ngoại lệ và Điều chỉnh Bất kỳ thành phần hoặc miền (một phần của mạng hoặc đơn vị hành chính) đã được định rõ, nhưng chưa được bảo vệ bởi một chính sách hoặc các biện pháp an toàn, phải được nhận diện và giải thích sự ngoại lệ của nó. Các biện pháp an toàn trong Kế hoạch Chiến lược phải xét đến điều kiện thực tế hoặc tương lai gần của tổ chức để đạt được các mục tiêu nhiệm vụ do lãnh đạo cấp cao đề ra. Việc mua lại công ty mới, sáp nhập với các công ty hiện hữu, cắt giảm quy mô và quyết định thuê ngoài các hệ thống thông tin là một vài ví dụ trong các mục tiêu đó. Môi trường trong Tổ Môi trường trong tổ chức giúp củng cố các biện chức pháp được thực hiện để đạt được các mục tiêu cụ thể do lãnh đạo cấp cao đề ra. Ví dụ: việc truy cập từ bên ngoài vào máy chủ của công ty cho mục đích làm việc từ xa đòi hỏi phải có những biện pháp an toàn riêng.
  79. Quy định ISMS Soát xét hệ thống tài liệu hiện tại để đánh giá phạm vi của các biện pháp an toàn hiện tại, như sổ tay hướng dẫn Quản lý Chất lượng ISO 9000, sổ tay hướng dẫn Quản lý Môi trường ISO 14001 và sổ tay hướng dẫn Chính sách An toàn. Trưởng phòng ban liên quan đến ISMS phải phác thảo tất cả tài liệu liên quan đến an toàn dữ liệu trong phòng ban mình. Sau đây là danh sách các tài liệu có thể có: 1. Các tài liệu về chính sách an toàn; 2. Các tiêu chuẩn và thủ tục của chính sách (hành chính hoặc kỹ thuật); 3. Các báo cáo đánh giá rủi ro; 4. Các kế hoạch xử lý rủi ro; 5. Các tài liệu cho biết sự tồn tại của các công cụ kiểm soát và quản lý an toàn thông tin trong ISMS; ví dụ: các báo cáo đánh giá, hồ sơ đánh giá, báo cáo sự cố máy vi tính, v.v
  80. 3. Đánh giá Rủi ro ▪ Dù quy mô doanh nghiệp như thế nào (công ty đa quốc gia hay doanh nghiệp nhỏ), thì mọi tổ chức đều có thể bị lỗ hổng đe dọa phá hủy tính bảo mật, tính toàn vẹn và tính sẵn sàng của các dữ liệu quan trọng. Các hành động bảo vệ được thực hiện càng sớm, thì việc bảo đảm an toàn càng tiết kiệm và hiệu quả.
  81. Đánh giá Rủi ro Tại sao phải đánh giá rủi ro? Để xác định các yêu cầu an toàn đối với tài sản thông tin của tổ chức. Để đánh giá hậu quả của rủi ro, tức là tác động của nó đến hoạt động kinh doanh. Để đưa ra các quyết định về cách quản lý rủi ro ⚫ Chấp nhận hoặc thừa nhận ⚫ Tránh ⚫ Chuyển giao trách nhiệm ⚫ Giảm thiểu hoặc kiểm soát
  82. Tiến hành Đánh giá Rủi ro Đánh giá Rủi ro và các Nhiệm Hoạt động Đánh giá Rủi ro vụ Quản lý Xác định và Định giá Tài sản Nhận diện và liệt kê tất cả các tài sản, xác định một thang giá trị và gán giá trị cho mỗi tài sản theo thang này. Đánh giá các Đe dọa Nhận diện tất cả các đe dọa liên quan đến các tài sản đã liệt kê và gán giá trị cho các đe dọa theo xác suất xảy ra và mức độ nghiêm trọng của nó. Đánh giá các Lỗ hổng Nhận diện tất cả các lỗ hổng liên quan đến các tài sản đã liệt kê và gán giá trị cho các lỗ hổng theo khả năng dễ bị khai thác bởi các đe dọa.
  83. Tiến hành Đánh giá Rủi ro Đánh giá Rủi ro và các Hoạt động Đánh giá Rủi ro Nhiệm vụ Quản lý Tính toán Rủi ro Tính toán rủi ro như là một hàm tính tài sản, đe dọa và lỗ hổng theo công thức tính phù hợp. Lựa chọn và Đánh giá các Lựa chọn hành động xử lý rủi Giải pháp Xử lý Rủi ro ro phù hợp cho mỗi rủi ro đã được nhận diện từ các giải pháp xử lý rủi ro khác nhau sẵn có. Lựa chọn các Công cụ Kiểm Lựa chọn các công cụ kiểm soát An toàn, Giảm thiểu và soát an toàn phù hợp để giảm Chấp nhận Rủi ro thiểu rủi ro xuống mức chấp nhận được.
  84. 4. Xử lý Rủi ro 1 Tổ chức thực hiện các biện pháp hoặc áp dụng Giảm thiểu Rủi ro các phương tiện để giảm thiểu rủi ro xuống mức chấp nhận được. 2 Tổ chức chấp nhận rủi ro đã được tính toán và Chấp nhận Rủi ro chịu trách nhiệm về các hậu quả một cách chủ động. 3 Bỏ qua rủi ro không bao giờ là một giải pháp Tránh Rủi ro đúng. Tuy nhiên, có thể tránh rủi ro bằng cách chuyển các tài sản mục tiêu tiềm tàng ra khỏi khu vực rủi ro hoặc nghiêm cấm hoàn toàn các hoạt động kinh doanh có thể làm phát sinh các điểm yếu trong an toàn. 4 Tổ chức chuyển giao rủi ro bằng việc mua bảo Chuyển giao Rủi ro hiểm hoặc thuê ngoài.
  85. Xử lý Rủi ro Trong hầu hết trường hợp, Giảm thiểu Rủi ro là giải pháp được chọn. Theo đó, các mục tiêu phải được quy định và các công cụ kiểm soát phải được thực hiện. Khi hoàn thành việc đánh giá rủi ro, cần phải áp dụng nhiều công cụ kiểm soát khác nhau, phù hợp với tiêu chuẩn ISO 27001, trong mỗi môi trường thông tin mục tiêu. Biện pháp bảo vệ phù hợp được áp dụng cho các đe dọa đã được nhận diện. Khách thể duy trì hoặc loại bỏ giải pháp được đề xuất trước khi Lập Kế hoạch Xử lý Rủi ro.
  86. Xử lý Rủi ro Kế hoạch Xử lý Rủi ro bao gồm tất cả các thông tin liên quan đến việc thực hiện: các nhiệm vụ và trách nhiệm quản lý, họ và tên những người chịu trách nhiệm, các thứ tự ưu tiên quản lý rủi ro, v.v Các công cụ kiểm soát bổ sung, không có trong tiêu chuẩn, có thể cũng cần thiết. Một hệ thống đánh giá rủi ro chất lượng, hay sự hỗ trợ của các chuyên gia bên ngoài, có thể sẽ hữu ích.
  87. Xử lý Rủi ro Công cụ Thành phần Biện pháp kiểm soát Hành Các chính sách và Các chính sách, tiêu chuẩn, chính thủ tục; thủ tục, hướng dẫn, thủ tục Giám sát nhân sự; tuyển dụng nhân viên, thủ Cơ cấu theo dõi; tục chấm dứt tuyển dụng, Huấn luyện phổ quy trình phân loại và gán biến; nhãn cho tài sản, chương Thử nghiệm. trình huấn luyện phổ biến về an toàn thông tin.
  88. Xử lý Rủi ro Công cụ Thành phần Biện pháp kiểm soát Kỹ thuật Truy cập hệ Các công cụ kiểm soát truy cập hoặc thống; logic, mã hóa, phần mềm diệt vi Logic Truy cập mạng; rút, thẻ thông minh, thủ tục truy Mã hóa và giao xuất lại, giao diện người dùng thức; hạn chế, bảo vệ màn hình tinh Khu vực kiểm thể lỏng (LCD), tường lửa, định soát; tuyến, hệ thống phát hiện đột Đánh giá và thẩm nhập (IDS), cấp độ tắt máy. tra
  89. Xử lý Rủi ro Công Thành phần Biện pháp cụ kiểm soát Thực Phân cấp mạng; Các cổng, các lá chắn an tế Vùng phải bảo vệ; toàn, khóa, hệ thống theo Kiểm soát máy vi dõi, các công cụ kiểm soát tính; môi trường, phát hiện đột Cách ly khu vực làm nhập và di chuyển, báo việc; động, bẫy, ID, thẻ kiểm tra, Sao lưu dự phòng các biện pháp sinh trắc học. cho máy vi tính; Cáp truyền dẫn.
  90. 5. Huấn luyện và Phổ biến Tổ chức phải đảm bảo mọi nhân viên có trách nhiệm trong hệ thống ISMS quy định đều có trình độ chuyên môn và có khả năng thực hiện các nhiệm vụ được giao. Tổ chức phải: ▪ Xác định những kỹ năng nào mà nhân viên phụ trách an toàn thông tin cần phải có; ▪ Tổ chức huấn luyện phù hợp, và nếu cần thiết, có thể tuyển nhân viên mới có kinh nghiệm cho nhiệm vụ này; ▪ Đánh giá hiệu quả huấn luyện và các hoạt động đã được thực hiện; ▪ Duy trì một danh sách các chương trình giáo dục và huấn luyện mà mỗi nhân viên sẽ phải trải qua kèm theo hồ sơ năng lực, kinh nghiệm và trình độ chuyên môn của người đó.
  91. Huấn luyện và Phổ biến ▪ Điều quan trọng là phải phát triển một chương trình huấn luyện và phổ biến để đào tạo cho tất cả các nhân viên trong tổ chức. Nhân viên phải chắc chắn hiểu rõ và tôn trọng các thực hành liên quan đến an toàn thông tin. ▪ Nhân viên là công cụ tiết kiệm nhất để đối phó với các vi phạm an toàn. Thông thường, nhân viên là người bị ảnh hưởng đầu tiên bởi các sự cố an toàn. Nhân viên nhận thức được sự nghiêm trọng của các sự cố an toàn có thể phòng tránh và hạ thấp các tác động của sự cố khi nó xảy ra. Với tầm quan trọng như vậy của nhân viên trong việc kiểm soát an toàn, thì nhận thức của nhân viên là đặc biệt quan trọng trong các chương trình an toàn thông tin. Phát hiện và báo cáo các sự cố an toàn thông tin phải trở thành một thói quen. Đây là mục tiêu đích thực của chương trình phổ biến an toàn thông tin. Nhân viên quan tâm đến an toàn thông tin sẽ rất hữu ích trong việc bảo vệ tài sản của doanh nghiệp.
  92. 6. Chuẩn bị Đánh giá Chứng nhận ISO 27001 yêu cầu phải đánh giá việc tuân thủ các quy định thực hành của cơ cấu quản lý an toàn thông tin. Trả lời hoàn tất bảng câu hỏi chứng nhận sẽ giúp xác định xem phương pháp được ban lãnh đạo sử dụng có thể giúp phát triển, kiểm soát, soát xét, duy trì và cải tiến cơ cấu quản lý đang áp dụng hay không. Nó cũng kiểm tra khả năng quản lý các hệ thống tài liệu cần thiết để chứng nhận và hoàn thành các yêu cầu an toàn liên quan đến quy trình này.
  93. Chuẩn bị Đánh giá Thông cáo Áp dụng phải được ban hành trước khi đánh giá. Tài liệu này là cơ sở để xác định việc có thể hoặc không thể áp dụng mỗi công cụ kiểm soát trong ISO 17999 cho hệ thống ISMS đang thực thi. Nó cũng bao gồm, nếu có thể, tình hình thực hiện hiện hành của mỗi công cụ kiểm soát. Tóm lại, các mục tiêu, các công cụ được chọn và các cơ sở lựa chọn được giải thích trong thông cáo này, cũng như các cơ sở cho các ngoại lệ của các biện pháp được quy định trong tiêu chuẩn ISO 27001.
  94. 7. Đánh giá Quy trình chứng nhận ISO 27001 là hoàn toàn tự nguyện. ISO 27001 yêu cầu tổ chức chứng nhận thực hiện một đợt đánh giá ISMS tại chỗ không dưới 2 giai đoạn, trừ khi có thể áp dụng một giải pháp thay thế (ví dụ: áp dụng quy trình chứng nhận riêng cho các tổ chức rất nhỏ). Quy trình đánh giá gồm 2 giai đoạn: 1) Đánh giá Tài liệu; 2) Đánh giá Thực hiện.
  95. Đánh giá Việc xem xét tài liệu cần phải hoàn thành trước khi Đánh giá Thực hiện bắt đầu. Tổ chức chứng nhận cần đánh giá tất cả các tài liệu liên quan đến việc thiết kế và thực hiện hệ thống ISMS, bao gồm: Tuyên bố chính sách an toàn; Quy định phạm vi của ISMS; Các thủ tục và công cụ kiểm soát hỗ trợ ISMS; Báo cáo đánh giá rủi ro; Kế hoạch xử lý rủi ro; Các thủ tục của việc lập kế hoạch, vận hành và kiểm soát hiệu quả các quy trình an toàn thông tin; Các hồ sơ xác nhận sự phù hợp và hiệu quả của các hoạt động ISMS; Thông cáo Áp dụng.
  96. Đánh giá a) Xác nhận sự phù hợp của tổ chức với các chính sách, mục tiêu và thủ tục của tổ chức; b) Xác nhận sự phù hợp của ISMS với tất cả các yêu cầu của ISO 27001 và hiệu quả của nó đối với các mục tiêu trong chính sách của tổ chức (kể cả việc kiểm tra xem tổ chức đã có một hệ thống các quy trình để đáp ứng các yêu cầu từ Điều 4 – 8 của tiêu chuẩn ISO 27001). Việc đánh giá thực hiện cần chú trọng vào cách thức mà công ty sử dụng để xử lý việc: c) Đánh giá các rủi ro về an toàn thông tin và thiết kế hệ thống ISMS; Phương pháp đánh giá rủi ro; Nhận diện rủi ro; Đánh giá rủi ro; Xử lý rủi ro; Lựa chọn các mục tiêu và các công cụ kiểm soát để xử lý rủi ro; Soạn thảo Thông cáo Áp dụng.
  97. Đánh giá d) Kiểm tra các mục tiêu và mục đích của quy trình này; e) Thực hiện việc theo dõi, đo lường, báo cáo và soát xét các mục tiêu và mục đích này. Điều này bao gồm việc kiểm tra các quy trình đã được thiết lập và áp dụng, tối thiểu là: ISO 27001; Điều 4.2.3 Theo dõi và rà soát ISMS; ISO 27001; Điều 7 Rà soát ISMS ở cấp quản lý; ISO 27001 2; Điều 8 Cải tiến ISMS. f) Soát xét việc quản lý và an toàn. Điều này bao gồm việc kiểm tra các quy trình đã được thiết lập và áp dụng, tối thiểu là: ISO 27001; Điều 4.2.3 Theo dõi và rà soát ISMS; ISO 27001; Rà Soát ISMS ở cấp quản lý.
  98. Đánh giá g) Trách nhiệm quản lý chính sách an toàn thông tin. Điều này bao gồm việc kiểm tra các quy trình đã được thiết lập và áp dụng, tối thiểu là: ISO 27001; Điều 4.2.3 Theo dõi và rà soát ISMS; ISO 27001; Điều 5 Trách nhiệm quản lý; ISO 27001; Điều 67 Rà Soát ISMS ở cấp quản lý. h) Sự kết nối giữa các chính sách, các kết quả đánh giá rủi ro trong an toàn thông tin, các mục tiêu và mục đích, trách nhiệm, các chương trình, thủ tục, các số liệu về hiệu năng và soát xét an toàn (các kết nối này phải thể hiện được các quan hệ giữa các hoạt động, quy trình và kết quả khác nhau được quy định trong ISO 27001; điều 4 – 8).
  99. Quy trình Chứng nhận ISO 27001 Xem xét Tài liệu Bước 1 Bước 2 Tài liệu hệ thống Trình bày báo cáo Trình bày báo cáo của Chính sách ISMS xem xét tài liệu Bước 1 Phạm vi Đánh giá kỹ thuật ban Đánh giá việc thực Tài liệu về Môi trường CNTT đầu hiện ISMS Thông cáo Áp dụng Kiểm tra sự phù hợp Phân tích Rủi ro với các yêu cầu Kế hoạch Kinh doanh Liên tục Kết quả Kết quả Kết quả Báo cáo Báo cáo Báo cáo Các điểm không phù Các điểm không phù hợp phải được chỉnh hợp phải được chỉnh sửa trước khi trao sửa trước khi tiến chứng nhận hành bước 2 Đề xuất chứng nhận
  100. 8.Kiểm soát và Cải tiến Liên tục Dù hệ thống ISO 27001 của quý vị có được chứng nhận hay không, thì điều quan trọng là phải thường xuyên kiểm tra và cải tiến cơ cấu quản lý sau khi triển khai. Việc kiểm tra và cập nhật phải được thực hiện thường xuyên, vì an toàn là một lĩnh vực luôn luôn thay đổi. Ví dụ: các phần mềm diệt vi rút quá hạn rất ít được sử dụng.
  101. PHẦN 4 Các Công cụ Kiểm soát Chính của ISO 17799/ISO 27001 11 công cụ kiểm soát chính
  102. Hệ thống Quản lý An toàn Thông tin Lịch sử Phát triển của ISMS Tháng 7/2005 Cập nhật ISO 17799-2005 Tháng 9/2002 Cập nhật phiên bản BS 7799-2 (đã chỉnh sửa và khắc phục) 2001 Soát xét BS 7799-2 Tháng 12/2000 ISO/IEC 17799:2000 1999 Tiêu chuẩn Thụy Điển SS 62 77 99 Phần 1 và 2 Cập nhật phiên bản BS 7799 Phần 1 và 2 1998 BS 7799 Phần 2 1995 BS 7799 Phần 1
  103. ISO 2700:2005 Phụ lục A (Bắt buộc) Các Mục tiêu và Công cụ Kiểm soát
  104. 11 Công cụ Kiểm soát Chính của ISO 27001 Chính sách Tuân thủ An toàn Tổ chức An toàn Thông tin Quản lý Tính liên tục trong Kinh doanh Tính toàn vẹn Tính bảo mật Quản lý Tài sản Quản lý Sự cố An toàn Thông tin Thông tin Thuê mua, Phát Tính sẵn sàng An toàn Triển và Duy trì các Hệ Nhân sự thốngThông tin Kiểm soát Quản lý Truyền thông An toàn Vật lý và Truy cập và Hoạt động Môi trường
  105. Cấu trúc 11 Công cụ Kiểm soát Chính ISO 27001 Tổ chức 1. Chính sách an toàn 2. An toàn tổ chức 3. Phân loại và kiểm soát tài sản 7. Kiểm soát truy cập 11. Tuân thủ 9. Quản lý sự cố 4. An toàn nhân sự 5. An toàn vật lý và môi trường 8. Phát triển và duy 6. Quản lý truyền thông và hoạt 10. Quản lý tính trì hệ thống động liên tục trong kinh doanh Hoạt động
  106. Lựa chọn Công cụ Kiểm soát o Khi đã xác định được các yêu cầu và rủi ro trong an toàn, và quyết định xử lý rủi ro đã được đưa ra, thì các công cụ kiểm soát phù hợp phải được lựa chọn và thực hiện để đảm bảo hạn chế rủi ro đến mức chấp nhận được. o Các công cụ kiểm soát có thể được chọn lựa từ tiêu chuẩn ISO 27001 hoặc từ các bộ công cụ kiểm soát khác, hoặc có thể thiết kế các công cụ kiểm soát mới để đáp ứng các nhu cầu cụ thể nếu phù hợp.
  107. Lựa chọn Công cụ Kiểm soát(tt) o Việc lựa chọn các công cụ kiểm soát an toàn tùy thuộc vào quyết định của tổ chức dựa trên các tiêu chí về chấp nhận rủi ro, các phương án xử lý rủi ro, và phương pháp quản lý rủi ro chung được áp dụng trong tổ chức, và tuân thủ các quy định pháp lý và quy chế quốc gia và quốc tế liên quan.
  108. A.5. CHÍNH SÁCH AN TOÀN
  109. A.5.1 Chính sách An toàn Thông tin Mục tiêu: Cung cấp đường lối quản lý và hỗ trợ cho an toàn thông tin phù hợp với các yêu cầu kinh doanh và các quy định pháp lý và quy định liên quan. A.5.1.1 Tài liệu chính sách an toàn thông tin A.5.1.2 Xem xét chính sách an toàn thông tin
  110. A.6. TỔ CHỨC AN TOÀN THÔNG TIN
  111. A.6.1 Tổ chức Nội bộ Mục tiêu: Quản lý an toàn thông tin trong tổ chức. A.6.1.1 Cam kết của cấp quản lý về an toàn thông tin A.6.1.2 Điều phối an toàn thông tin A.6.1.3 Phân công trách nhiệm về an toàn thông tin A.6.1.4 Quy trình ủy quyền đối với các phương tiện xử lý thông tin A.6.1.5 Các thỏa thuận bảo mật A.6.1.6 Liên hệ với những người có thẩm quyền A.6.1.7 Liên hệ với các nhóm có quyền lợi đặc biệt A.6.1.8 Xem xét độc lập an toàn thông tin
  112. A.6.2 Các Tổ chức Bên ngoài Mục tiêu: Duy trì an toàn thông tin và các phương tiện xử lý thông tin của tổ chức được truy cập, xử lý, truyền thông, hoặc được quản lý bởi các tổ chức bên ngoài. A.6.2.1 Nhận diện các rủi ro liên quan đến các tổ chức bên ngoài A.6.2.2 Xử lý an toàn khi giao dịch với khách hàng A.6.2.3 Xử lý an toàn trong các thỏa thuận với bên thứ ba
  113. A.7. QUẢN LÝ TÀI SẢN
  114. A.7.1 Trách nhiệm đối với Tài sản Mục tiêu: Thiết lập và duy trì việc bảo vệ phù hợp các tài sản của tổ chức. A.7.1.1 Kiểm kê tài sản A.7.1.2 Quyền sở hữu tài sản A.7.1.3 Việc sử dụng tài sản được chấp nhận
  115. A.7.2 Phân loại Thông tin Mục tiêu: Đảm bảo thông tin được bảo vệ ở mức độ phù hợp A.7.2.1 Hướng dẫn phân loại A.7.2.2 Ghi nhãn và xử lý thông tin
  116. A.8 AN TOÀN NHÂN SỰ
  117. A.8.1 Trước khi Nhận việc Mục tiêu: Đảm bảo các nhân viên, nhà thầu và người dùng bên thứ ba hiểu rõ trách nhiệm, phù hợp với vai trò được giao, và giảm thiểu rủi ro bị trộm, lừa đảo hoặc sử dụng thiết bị sai mục đích. A.8.1.1 Vai trò và Trách nhiệm A.8.1.2 Sàng lọc A.8.1.3 Các điều khoản và điều kiện tuyển dụng
  118. A.8.2 Khi đang Làm việc Mục tiêu: Đảm bảo mọi nhân viên, nhà thầu và người dùng bên thứ ba cảnh giác với các đe dọa và quan ngại về an toàn thông tin, hiểu rõ trách nhiệm và nghĩa vụ của họ, và được trang bị để hỗ trợ cho chính sách của tổ chức trong công việc hàng ngày của họ, và giảm thiểu các rủi ro do lỗi con người. A.8.2.1 Trách nhiệm quản lý A.8.2.2 Phổ biến, đào tạo và huấn luyện về an toàn thông tin A.8.2.3 Quy trình kỷ luật
  119. A.8.3 Chấm dứt hoặc Thuyên chuyển Công việc Mục tiêu: Đảm bảo các nhân viên, nhà thầu và người dùng bên thứ ba ra khỏi tổ chức hoặc thuyên chuyển công việc một cách phù hợp. A.8.3.1 Trách nhiệm khi chấm dứt hợp đồng A.8.3.2 Hoàn trả tài sản A.8.3.3 Gỡ bỏ quyền truy cập
  120. A.9. AN TOÀN VẬT LÝ VÀ MÔI TRƯỜNG
  121. A.9.1 Các Khu vực An toàn Mục tiêu: Ngăn ngừa sự truy cập thực tế trái phép, gây thiệt hại hoặc can thiệp vào các địa điểm và thông tin của tổ chức. A.9.1.1 Phạm vi an toàn vật lý A.9.2.2 Kiểm soát người ra vào A.9.1.3 Bảo vệ an toàn cho văn phòng, nhà, xưởng A.9.1.4 Bảo vệ chống các đe dọa bên ngoài và môi trường làm việc A.9.1.5 Làm việc trong các khu vực an toàn A.9.1.6 Truy cập công cộng, các khu vực giao nhận
  122. A.9.2 An toàn Thiết bị Mục tiêu: Ngăn ngừa mất mát, hư hỏng, mất trộm hoặc mất tài sản và gián đoạn các hoạt động của tổ chức. A.9.2.1 Sắp xếp và bảo vệ thiết bị A.9.2.2 Các tiện ích hỗ trợ A.9.2.3 An toàn cáp mạng A.9.2.4 Bảo trì thiết bị A.9.2.5 An toàn thiết bị ngoài cơ sở A.9.2.6 Tiêu hủy hoặc tái sử dụng thiết bị an toàn A.9.2.7 Di chuyển tài sản
  123. A.10. QUẢN LÝ TRUYỀN THÔNG VÀ HOẠT ĐỘNG
  124. A.10.1 Thủ tục Vận hành và Trách nhiệm Mục tiêu: Đảm bảo việc vận hành đúng và an toàn đối với các phương tiện xử lý thông tin. A.10.1.1 Các thủ tục vận hành được lập tài liệu A.10.1.2 Quản lý thay đổi A.10.1.3 Phân chia trách nhiệm A.10.1.4 Phân chia giữa các thiết bị phát triển, thử nghiệm và vận hành
  125. A.10.2 Quản lý Dịch vụ của Bên thứ Ba Mục tiêu: Thực hiện và duy trì cấp độ an toàn thông tin phù hợp và cung cấp dịch vụ theo đúng các thỏa thuận cung cấp dịch vụ với bên thứ ba. A.10.2.1 Cung cấp dịch vụ A.10.2.2 Theo dõi và xem xét các dịch vụ của bên thứ ba A.10.2.3 Quản lý các thay đổi đối với các dịch vụ của bên thứ ba
  126. A.10.3 Lập kế hoạch và Phê duyệt Hệ thống Mục tiêu: Giảm thiểu các rủi ro hư hỏng của hệ thống. A.10.3.1 Quản lý năng lực A.10.3.2 Phê duyệt hệ thống
  127. A.10.4 Bảo vệ Chống Mã Độc hại và Di động Mục tiêu: Bảo vệ tính toàn vẹn của phần mềm và thông tin. A.10.4.1 Các công cụ kiểm soát chống mã độc hại A.10.4.2 Các công cụ kiểm soát chống mã di động
  128. A.10.5 Sao lưu dự phòng Mục tiêu: Duy trì tính toàn vẹn và tính sẵn sàng của thông tin và các phương tiện xử lý thông tin. A.10.5.1 Sao lưu dự phòng thông tin
  129. A.10.6 Quản lý An toàn Mạng Mục tiêu: Đảm bảo việc bảo vệ thông tin trong mạng và bảo vệ việc hỗ trợ cơ sở hạ tầng. A.10.6.1 Các công cụ kiểm soát mạng A.10.6.2 An toàn các dịch vụ mạng
  130. A.10.7 Quản lý Phương tiện truyền thông Mục tiêu: Ngăn ngừa việc tiết lộ, sửa đổi, di chuyển hoặc hủy bỏ trái phép các tài sản và sự gián đoạn của các hoạt động kinh doanh. A.10.7.1 Quản lý các phương tiện truyền thông di động A.10.7.2 Hủy bỏ các phương tiện truyền thông A.10.7.3 Các quy trình quản lý thông tin A.10.7.4 An toàn tài liệu hệ thống
  131. A.10.8 Trao đổi Thông tin Mục tiêu: Duy trì an toàn thông tin và phần mềm được trao đổi trong nội bộ tổ chức và với bên ngoài. A.10.8.1 Các chính sách và thủ tục trao đổi thông tin A.10.8.2 Các thỏa thuận trao đổi thông tin A.10.8.3 Di chuyển phương tiện truyền thông A.10.8.4 Tin nhắn điện tử A.10.8.5 Các hệ thống thông tin trong kinh doanh
  132. A.10.9 Dịch vụ Thương mại Điện tử Mục tiêu: Đảm bảo an toàn cho các dịch vụ thương mại điện tử và việc sử dụng an toàn các dịch vụ này. A.10.9.1 Thương mại điện tử A.10.9.2 Các giao dịch trực tuyến A.10.9.3 Các thông tin công khai
  133. A.10.10 Theo dõi Mục tiêu: Phát hiện các hoạt động xử lý thông tin trái phép. A.10.10.1 Kiểm tra ghi nhật ký truy cập A.10.10.2 Theo dõi việc sử dụng hệ thống A.10.10.3 Bảo vệ các thông tin nhật ký truy cập A.10.10.4 Nhật ký truy cập của người quản trị và người vận hành A.10.10.5 Ghi nhật ký truy cập giả mạo A.10.10.6 Đồng bộ hóa Xung đồng hồ
  134. A.11 KIỂM SOÁT TRUY CẬP
  135. A.11.1 Các Yêu cầu Kinh doanh đối với việc Kiểm soát Truy cập Mục tiêu: Kiểm soát việc truy cập thông tin A.11.1.1 Chính sách kiểm soát truy cập Kiểm soát Phải thiết lập một chính sách kiểm soát truy cập, soạn thành tài liệu và soát xét trên cơ sở các yêu cầu kinh doanh và an toàn.
  136. A.11.2 Quản lý Truy cập của Người dùng Mục tiêu: Đảm bảo việc truy cập được phép của người dùng và ngăn ngừa việc truy cập trái phép vào các hệ thống thông tin. A.11.2.1 Đăng ký người dùng A.11.2.2 Quản lý quyền ưu tiên A.11.2.3 Quản lý mật khẩu người dùng A.11.2.4 Soát xét các quyền truy cập của người dùng
  137. A.11.3 Trách nhiệm của Người dùng Mục tiêu: Ngăn ngừa việc truy cập trái phép của người dùng, việc thỏa hiệp hoặc lấy trộm thông tin và các phương tiện xử lý thông tin. A.11.3.1 Sử dụng mật khẩu A.11.3.2 Thiết bị của người dùng để bất cẩn A.11.3.3 Chính sách Sạch bàn và Sạch màn hình
  138. A.11.4 Kiểm soát Truy cập Mạng Mục tiêu: Ngăn ngừa truy cập trái phép vào các dịch vụ kết nối mạng. A.11.4.1 Chính sách sử dụng các dịch vụ mạng A.11.4.2 Sử dụng quyền xác thực cho các kết nối ngoài A.11.4.3 Nhận diện thiết bị trong mạng A.11.4.4 Chẩn đoán từ xa và bảo vệ cổng cấu hình A.11.4.5 Phân đoạn trong mạng A.11.4.6 Kiểm soát kết nối mạng A.11.4.7 Kiểm soát định tuyến mạng
  139. A.11.5 Kiểm soát Truy cập Hệ điều hành Mục tiêu: Ngăn ngừa truy cập trái phép vào các hệ điều hành. A.11.5.1 Thủ tục đăng nhập an toàn A.11.5.2 Nhận diện và xác thực người dùng A.11.5.3 Hệ thống quản lý mật khẩu A.11.5.4 Sử dụng các tiện ích hệ thống A.11.5.5 Thời gian kết thúc phiên truy cập (time-out) A.11.5.6 Giới hạn thời gian kết nối
  140. A.11.6 Kiểm soát Truy cập vào Ứng dụng và Thông tin Mục tiêu: Ngăn ngừa truy cập trái phép vào các thông tin được lưu trữ trong các hệ thống ứng dụng. A.11.6.1 Hạn chế truy cập thông tin A.11.6.2 Cách ly các hệ thống nhạy cảm
  141. A.11.7 Máy vi tính Di động và Làm việc Từ xa Mục tiêu: Đảm bảo an toàn thông tin khi sử dụng máy vi tính di động và các thiết bị làm việc từ xa. A.11.7.1 Máy vi tính di động và trao đổi thông tin A.11.7.2 Làm việc từ xa
  142. A.12 THU THẬP, PHÁT TRIỂN VÀ DUY TRÌ HỆ THỐNG THÔNG TIN
  143. A.12.1 Các Yêu cầu An toàn của Hệ thống thông tin Mục tiêu: Đảm bảo an toàn là một phần không thể tách rời của hệ thống thông tin. A.12.1.1 Các yêu cầu an toàn của hệ thống thông tin
  144. A.12.2 Xử lý Phù hợp trong các Ứng dụng Mục tiêu: Ngăn ngừa các sai sót, mất mát, sửa đổi trái phép hoặc sử dụng sai mục đích thông tin trong các ứng dụng. A.12.2.1 Kiểm tra dữ liệu đầu vào A.12.2.2 Kiểm soát quy trình xử lý nội bộ A.12.2.3 Tính toàn vẹn của thông tin A.12.2.4 Kiểm tra dữ liệu đầu ra
  145. A.12.3 Kiểm soát bằng Mật mã Mục tiêu: Bảo vệ tính bảo mật, tính xác thực hoặc tính toàn vẹn của thông tin bằng các phương tiện mã hóa. A.12.3.1 Chính sách sử dụng các công cụ kiểm soát mã hóa A.12.3.2 Quản lý chìa khóa
  146. A.12.4 An toàn các Tập tin Hệ thống Mục tiêu: Đảm bảo an toàn các tập tin hệ thống. A.12.4.1 Kiểm soát các phần mềm điều hành A.12.4.2 Bảo vệ các dữ liệu kiểm tra hệ thống A.12.4.3 Kiểm soát truy cập vào mã nguồn chương trình
  147. A.12.5 An toàn trong các Quy trình Phát triển và Hỗ trợ Mục tiêu: Duy trì an toàn các thông tin và phần mềm hệ thống ứng dụng. A.12.5.1 Các thủ tục kiểm soát thay đổi A.12.5.2 Xem xét kỹ thuật của các ứng dụng sau khi thay đổi hệ điều hành A.12.5.3 Hạn chế thay đổi trong các gói phần mềm A.12.5.4 Rò rỉ thông tin A.12.5.5 Gia công phần mềm thuê ngoài
  148. A.12.6 Quản lý các Lỗ hổng Kỹ thuật Mục tiêu: Giảm thiểu các rủi ro liên quan đến việc khai thác các lỗ hổng kỹ thuật đã được công bố. 12.6.1 Kiểm soát các lỗ hổng kỹ thuật
  149. A.13 QUẢN LÝ SỰ CỐ AN TOÀN THÔNG TIN
  150. A.13.1 Báo cáo các Sự kiện và Điểm yếu trong An toàn Thông tin Mục tiêu: Đảm bảo các sự kiện và các điểm yếu trong an toàn thông tin của các hệ thống thông tin được báo cáo theo một quy trình giúp có thể áp dụng hành động khắc phục kịp thời. A.13.1.1 Báo cáo các sự kiện an toàn thông tin A.13.1.2 Báo cáo các điểm yếu trong an toàn
  151. A.13.2 Quản lý các Sự cố và Cải tiến An toàn Thông tin Mục tiêu: Đảm bảo có một phương pháp nhất quán và hiệu quả được áp dụng để quản lý an toàn thông tin. A.13.2.1 Trách nhiệm và các thủ tục A.13.2.2 Rút kinh nghiệm từ các sự cố về an toàn thông tin A.13.2.3 Thu thập các bằng chứng
  152. A.14 QUẢN LÝ TÍNH LIÊN TỤC TRONG KINH DOANH
  153. A.14.1 Các Khía cạnh An toàn Thông tin của việc Quản lý Tính liên tục trong Kinh doanh Mục tiêu: Đối phó với sự gián đoạn các hoạt động kinh doanh và bảo vệ các quy trình kinh doanh quan trọng trước các tác động của việc các hệ thống thông tin bị sập nghiêm trọng hoặc các thảm họa và đảm bảo phục hồi hệ thống kịp thời. 14.1.1 Đưa an toàn thông tin vào quy trình quản lý tính liên tục trong kinh doanh (BCM) 14.1.2 Tính liên tục trong kinh doanh và đánh giá rủi ro 14.1.3 Phát triển và duy trì các kế hoạch về tính liên tục có yếu tố an toàn thông tin 14.1.4 Sơ đồ lập kế hoạch kinh doanh liên tục 14.1.5 Kiểm tra, duy trì và đánh giá lại các kế hoạch kinh doanh liên tục
  154. A.15 TUÂN THỦ
  155. A.15.1 Tuân thủ các yêu cầu luật pháp Mục tiêu: Ngăn ngừa các vi phạm luật pháp, quy định, quy chế hoặc các nghĩa vụ hợp đồng và bất kỳ yêu cầu an toàn thông tin nào. 15.1.1 Nhận diện các quy định pháp lý liên quan 15.1.2 Quyền sở hữu trí tuệ (IPR) 15.1.3 Bảo vệ các hồ sơ của tổ chức 15.1.4 Bảo vệ dữ liệu và tính bảo mật của thông tin cá nhân 15.1.5 Ngăn ngừa việc sử dụng sai mục đích các phương tiện xử lý thông tin 15.1.6 Quy định về các công cụ kiểm soát mã hóa
  156. A.15.2 Tuân thủ các Chính sách và tiêu chuẩn An toàn, Kiểm tra Sự phù hợp về mặt Kỹ thuật Mục tiêu: Đảm bảo sự phù hợp của hệ thống với các chính sách và tiêu chuẩn an toàn của tổ chức. 15.2.1 Tuân thủ các chính sách và tiêu chuẩn an toàn 15.2.2 Kiểm tra sự phù hợp về mặt kỹ thuật
  157. A.15.3 Các Điểm lưu ý khi Đánh giá các Hệ thống Thông tin Mục tiêu: Tối đa hóa hiệu quả và giảm thiểu các tác động của việc đánh giá hệ thống thông tin 15.3.1 Kiểm soát việc đánh giá các hệ thống thông tin 15.3.2 Bảo vệ các công cụ đánh giá hệ thống thông tin
  158. Tài liệu tham khảo ISMS hệ thống quản lý an toàn thông tin – Bộ công cụ người thực hiện – công ty ECCI International www.sciencedirect.com