Sổ tay này xác định các yêu cầu cho việc thiết lập, thực hiện, giám sát, xem xét, duy trì và cải tiến HTQL ANTT trong toàn bộ hoạt động của Công ty và tuân thủ yêu cầu của tiêu chuẩn ISO 27001. Sổ tay cũng xác định việc thực thi các biện pháp quản lý an ninh theo yêu cầu của Công ty. HTQL ANTT được xây dựng nhằm đảm bảo các biện pháp quản lý an ninh phù hợp và thỏa đáng cho mục đích duy trì tính mật, tính toàn vẹn và sẵn sàng của tài sản thông tin. Các ngoại lệ và lý giải cho các ngoại lệ này được nêu trong bản tuyên bố áp dụng (SOA).
Trang 2TÌNH TRẠNG SỬA ĐỔI
Trang 3HỆ THỐNG QUẢN LÝ AN NINH THÔNG TIN
HTQL ANTT được xây dựng nhằm đảm bảo các biện pháp quản lý an ninh phù hợp và thỏa đáng cho mục đích duy trì tính mật, tính toàn vẹn và sẵn sàng của tài sản thông tin
Các ngoại lệ và lý giải cho các ngoại lệ này được nêu trong bản tuyên bố áp dụng (SOA)
1.2 Phạm vi của hệ thống quản lý ANTT
Phạm vi của HTQL ANTT được áp dụng tại Công ty:
CÔNG TY …
Địa chỉ: …
Sản phẩm: …
Tài sản và Công nghệ trong phạm vi áp dụng, gồm:
• Cơ sở dữ liệu (khách hàng, tiền lương), các file dữ liệu, sổ tay người dùng, tài liệu hệ thống, tài liệu đào tạo nội bộ, tài liệu kỹ thuật – công nghệ của công ty, thủ tục vận hành, các báo cáo đánh giá rủi ro, các báo cáo phát hiện lỗ hổng, tài sản trí tuệ của công ty, thông tin giá trong hợp đồng, đơn đặt hàng,
• Tài sản vật lý: các thiết bị xử lý thông tin, thiết bị truyền dẫn thông tin, các thiết bị đầu cuối, các phương tiện lưu trữ thông tin
• Phần mềm: phần mềm ứng dụng, phần mềm hệ thống (ERP, các phần mềm hệ điều hành, phần mềm PM – quản lý dự án), các công cụ và tiện ích phát triển phần mềm, các công cụ và tiện ích mạng
Trang 4• Dịch vụ gồm: sửa chữa, trợ giúp người dùng, cung cấp điện, nước, internet, điện thoại, fax, bảo trì, mã hóa dữ liệu
• Con người: đi kèm kiến thức, nhận thức, kỷ năng và kinh nghiệm của họ, như: lập trình viên, những người có học hàm, học vị, chuyên gia (những người có kiến thức, kỷ năng đặc biệt)
• Tài sản vô hình: hình ảnh công ty thông qua (đồng phục, logo, namecard, văn hóa công ty, cách thức giao tiếp, làm việc, các templet document, …)
1.3 Thuật ngữ, định nghĩa và từ viết tắt
Các thuật ngữ, định nghĩa và từ viết tắt được sử dụng trong hệ thống quản
lý an ninh thông tin của Công ty được đề cập trong Sổ tay thuật ngữ và định nghĩa
2 Tài liệu tham khảo
- Tiêu chuẩn ISO/IEC 27001
- Tiêu chuẩn ISO/IEC 27002
- Chính sách Hệ thống quản lý an ninh thông tin của Công ty
- ISO/IEC Guide 73 – Risk management – Vocabulary – Guideline for use in standards
- ISMS Implementation Guide v1.1 (atsec information security corporation)
- The security risk assessment handbook
- Information security management handbook (CRC press)
- Information security policy, Ministry of communications and information technology government of india
- Information security guidelines for NSW government agencies (The
Australian New South Wales department of commerce)
- Protecting your computer from malicious code: của Ausert (Autralia’s national computer emergency response team)
Trang 63 Sơ đồ tổ chức:
3.1 Sơ đồ tổ chức chung: tham khảo Sơ đồ tổ chức của Công ty
3.2 Sơ đồ tổ chức ANTT
Mô tả tổ chức ANTT của Công ty, các mối liên hệ hàng ngang, dọc, chéo (bao
gồm tất cả các lĩnh vực trong phạm vi áp dụng, không chỉ riêng bộ phận IT)
SƠ ĐỒ TỔ CHỨC AN NINH THÔNG TIN
DIỄN ĐÀN ANTT
GIÁM ĐỐC ANTT
ĐẠI DIỆN ANTT
BAN ANTT
CÁC ĐÕN VỊ CHỨC NĂNG VĂN PHÒNG
ĐẠI DIỆN AN NINH ĐÕN VỊ
ĐẠI DIỆN AN NINH ĐÕN VỊ
PHÒNG QUẢN TRỊ MẠNG
QUẢN LÝ HỆ THỐNG MẠNG
QUẢN LÝ HĐH, ỨNG DỤNG
QUẢN TRỊ HẠ TẦNG MẠNG
HỖ TRỢ CÔNG NGHỆ THÔNG TIN
ĐÀO TẠO NHẬN THỨC ANTT
ĐẠI DIỆN AN NINH ĐÕN VỊ
Trang 73.3 Vai trò trách nhiệm ANTT: Tham khảo các quyết định thành lập, Bản mô
tả công việc, quy định chức năng nhiệm vụ trong Công ty
4 Hệ thống quản lý an ninh thông tin
4.1 Các yêu cầu chung
Công ty thiết lập, thực hiện, giám sát, xem xét, duy trì và cải tiến HTQL ANTT trong toàn bộ hoạt động của Công ty Các quá trình của HTQL ANTT được sử dụng dựa trên chu trình PDCA
CHU TRÌNH PDCA
Plan
Thiết lập
Thực hiện và điều hành ISMS
Do
Giám sát và xem xét ISMS Check
Duy trì và cải tiến ISMS Act
An ninh thông tin
đã được quản lý
Trang 84.2 Thiết lập và quản lý HTQL ANTT
4.2.1 Thiết lập
4.2.1.1 Phạm vi và ranh giới của HTQL ANTT
HTQL ANTT của Công ty bao gồm các hoạt động liên quan đến:
- Gửi và nhận thông tin qua: đường bưu diện, điện thoại, fax, email, website, gửi và nhận trực tiếp (công văn đến, đi; thông tin, dữ liệu)…
- Quản lý quá trình xử lý thông tin qua văn phòng điện tử
- Quản lý việc cấp phát và sử dụng tài khoản
- Quản lý website
- Quản lý các tiện ích xử lý thông tin
- Quản lý hồ sơ, tài liệu và dữ liệu
- Quá trình trao đổi thông tin trên internet
HTQL ANTT áp dụng cho tất cả các tài sản thông tin thuộc Công ty bao gồm cả tài sản hữu hình và vô hình
4.2.1.2 Các lĩnh vực an ninh được xác định trong HTQL ANTT
Các lĩnh vực an ninh được xác định bởi HTQL ANTT tuân thủ tiêu chuẩn ISO 27001
- Chính sách an ninh (A.5): Hỗ trợ và định hướng của lãnh đạo đối với an ninh thông tin theo các yêu cầu hoạt động chính yếu, pháp luật và chế định liên quan
- Tổ chức ANTT (A.6): Duy trì an ninh thông tin trong tổ chức và các tiện ích xử lý được truy cập, xử lý, giao tiếp, hay được quản lý bởi các đối tác bên ngoài
- Quản lý tài sản (A.7): Nhằm mục đích phân loại một cách phù hợp và bảo
vệ tài sản của Công ty
- An ninh nguồn nhân lực (A.8): để xác định vai trò trách nhiệm rõ ràng, đảm bảo nhân viên, người hợp đồng và người dùng của bên thứ 3 hiểu trách nhiệm của họ và phù hợp với vai trò của họ, đào tạo và nhận thức về ANTT, ra khỏi tổ chức theo một cách được quy định
- An ninh môi trường và vật lý (A.9): Ngăn ngừa truy cập vật lý trái phép vào cơ sở và làm tổn thất hay gây hại hay trộm thiết bị
- Quản lý giao tiếp và vận hành (A.10): Đảm bảo mạng lưới được an ninh, duy trì các thỏa thuận phân phối dịch vụ của bên thứ ba một cách phù hợp, việc chia tách sự phát triển và kiểm tra các tiện ích để giảm thiểu đến
Trang 9mức thấp nhất các rủi ro hư hỏng hệ thống và bảo vệ phần mềm và tính toàn vẹn của thông tin
- Kiểm soát truy cập (A.11): ngăn ngừa truy cập trái phép đến các hệ thống thông tin, các dịch vụ mạng lưới, hệ điều hành, hệ thống ứng dụng và đảm bảo an ninh thông tin khi sử dụng máy tính di động và các tiện ích làm việc từ xa
- Xây dựng, duy trì và phát triển các hệ thống thông tin (A.12): ngăn ngừa các sai lỗi, tổn thất, bổ sung trái phép, sử dụng sai thông tin trong các ứng dụng, đảm bảo an ninh của các file hệ thống và phần mềm và làm giảm rủi ro gây ra từ việc khai thác đã lỗ hổng đã công bố
- Quản lý sự kiện ANTT (A.13): Truyền đạt đúng lúc về các sự cố và điểm yếu ANTT và thực hiện các hành động khắc phục
- Quản lý tính liên tục trong hoạt động chính yếu (A.14): tránh làm gián đoạn các hoạt động của Công ty và bảo vệ các quá trình hoạt động chính yếu từ các sai lỗi nghiêm trọng hay thảm họa và để đảm bảo khôi phục lại tình trạng ban đầu một cách kịp thời
- Tuân thủ (A.15): Việc tuân thủ các yêu cầu luật pháp, chính sách an ninh
- Các yêu cầu pháp luật và nghĩa vụ hợp đồng: Bảo vệ dữ liệu, hồ sơ của tổ chức, tuân thủ Luật Sở hữu trí tuệ, Luật Công nghệ thông tin, các yêu cầu trong hợp đồng
- Các yêu cầu trong hoạt động chính: tuân thủ tiêu chuẩn và chính sách an ninh
- Các yêu cầu đánh giá rủi ro: Các mối nguy môi trường và truy cập bất hợp pháp, sự cố ANTT, vi phạm an ninh, các quy định an ninh
Chi tiết về đánh giá rủi ro được trình bày trong tài liệu: Phương pháp đánh giá rủi ro Đầu ra của quá trình đánh giá rủi ro gồm:
- Báo cáo đánh giá rủi ro
- Kế hoạch xử lý rủi ro
Trang 10- Tuyên bố áp dụng (bao gồm cả lý do, lý giải cho các ngoại lệ)
Dựa trên cơ sở báo cáo đánh giá rủi ro, Ban an ninh lập kế hoạch xử lý rủi
ro (bao gồm cả việc chọn lựa biện pháp quản lý) trình Giám đốc ANTT duyệt để thực thi xử lý rủi ro và / hoặc chấp nhận rủi ro
4.2.2 Thực thi và điều hành ISMS
Các mục tiêu kiểm soát và biện pháp quản lý được lựa chọn là một phần của kế hoạch xử lý rủi ro phải được thực hiện trong Công ty và thông qua đó cũng có thể tạo điều kiện trong việc nhắc nhở nhận biết và phản ứng các sự kiện ANTT
Công ty đảm bảo việc đào tạo và nhận thức phù hợp về ISMS được tiến hành và đáp ứng các nguồn lực phù hợp để quản lý ISMS
Công ty duy trì một danh mục các rủi ro cần phải xử lý tương ứng với các biện pháp quản lý chính nhằm mục đích giám sát để đảm bảo rằng các biện pháp quản lý đã chọn có hiệu lực Các nhật ký cho việc làm giảm rủi ro được duy trì cho mục đích so sánh với trước khi xử lý
4.2.3 Giám sát và xem xét ISMS
Công ty đảm bảo ISMS được giám sát và xem xét định kỳ một cách thỏa đáng
a Để giám sát các sự kiện ANTT, Công ty xây dựng một thủ tục đối phó với các sự cố ANTT (Incident response), đảm bảo tất cả các sự cố, sự kiện, các sai lỗi được nhận biết trong quá trình xử lý và được xử lý một cách nhanh nhất có thể
b Công ty xây dựng một thủ tục cho quá trình xem xét của lãnh đạo và một thủ tục cho quá trình đánh giá nội bộ ISMS Việc xem xét của lãnh đạo và đánh giá nội bộ nhằm đảm bảo hiệu lực của ISMS và tất cả các chính sách, mục tiêu kiểm soát và biện pháp quản lý được thực thi và đáp ứng các yêu cầu của Công ty
c Ban an ninh thông tin xem xét mức các rủi ro có thể chấp nhận và các rủi ro còn lại dựa trên cơ sở các thay đổi kỹ thuật đã triển khai, các mối nguy, lỗ hổng và mục tiêu mới của Công ty
d Tại những thời điểm thích hợp, các biện pháp quản lý được giám sát tương ứng với nhật ký rủi ro hiện hành Điều này được so sánh với mức rủi ro trước đó nhằm xác nhận hiệu lực của các biện pháp quản lý
Trang 114.2.4 Duy trì và cải tiến ISMS
Dựa trên cơ sở các báo cáo xem xét và các phát hiện trong đánh giá, các hành động khắc phục, phòng ngừa phù hợp được thực thi và cập nhật vào ISMS Các đầu vào cải tiến có thể từ:
- Báo cáo đánh giá
- Báo cáo xem xét của lãnh đạo
- Báo cáo sự cố, sự kiện ANTT
- Báo cáo đánh giá rủi ro
- Các thay đổi trong tổ chức (Mục tiêu, quá trình, thực tiễn công nghệ, luật pháp và chế định, …)
- Các thay đổi môi trường (các mối nguy, lỗ hổng mới, các thay đổi về công nghệ, kỹ thuật, …)
Công ty duy trì tất cả các yếu tố đầu vào trong một cơ sở dữ liệu cải tiến được lưu trên mạng nội bộ của Công ty Giám đốc an ninh thông tin tổng hợp các đầu vào và xem xét ISMS cho mục đích cải tiến Tất cả các nội dung thay đổi được tạo ra, Giám đốc ANTT chuẩn bị một kế hoạch hành động và truyền đạt kết quả cho tất cả các bên quan tâm và/ hoặc những bên chịu ảnh hưởng từ kết quả đó Tất các những điểm cải tiến phải hướng dến những mục tiêu đã được xác định trước
Các mục tiêu của năm do Ban an ninh thiết lập và được xem xét cho mục đích cải tiến đã định
(Tham khảo Thủ tục Hành động khắc phục và Thủ tục hành động phòng ngừa)
4.3 Các yêu cầu tài liệu
Cấu trúc của hệ thống tài liệu:
Trang 12Các thành phần của tài liệu:
- Mức 0: Chính sách hệ thống quản lý an ninh thông tin – Là chính sách mức cao nhất của Công ty
- Mức 1: Sổ tay ISMS (Hệ thống quản lý ANTT) - Sổ tay này bao gồm các yêu cầu của tiêu chuẩn ISO 27001 và mô tả cách thức đáp ứng các yêu cầu
- Mức 2: Bộ chính sách an ninh thông tin của Công ty
- Mức 3: Các thủ tục và quy trình được yêu cầu cho việc thực hiện, điều hành và giám sát ISMS
- Mức 4: Các hướng dẫn thực hiện và các biểu mẫu áp dụng trong quá trình tác nghiệm
5 Trách nhiệm của lãnh đạo:
Phần này trình bày cam kết của lãnh đạo trong việc thực thi và điều hành ISMS một cách có hiệu quả Đồng thời, xác định vai trò và trách nhiệm liên quan đến hoạt động của ISMS
5.1 Cam kết của lãnh đạo:
Trang 13Lãnh đạo ủy quyền cho Giám đốc ANTT có trách nhiệm triển khai xây dựng và cải tiến HTQL ANTT
Lãnh đạo cung cấp bằng chứng về sự cam kết trong việc thiết lập, thực thi, điều hành, giám sát, xem xét, duy trì và cải tiến ISMS bằng cách:
a Thiết lập một chính sách ISMS
b Đảm bảo các mục tiêu và kế hoạch của ISMS được thiết lập
c Thiết lập vai trò và trách nhiệm về an ninh thông tin trong Công ty
d Truyền đạt trong tổ chức về tầm quan trọng của việc đáp ứng các mục tiêu ANTT và sự phù hợp với chính sách ANTT, trách nhiệm đối với pháp luật
và nhu cầu cải tiến liên tục
e Cung cấp nguồn lực cần thiết cho việc thiết lập, thực hiện, vận hành, theo dõi, xem xét, duy trì và cải tiến ISMS
f Quyết định các tiêu chí chấp nhận rủi ro và các mức sủi ro có thể chấp nhận
g Đảm bảo tiến hành đánh giá nội bộ ISMS
h Tiến hành xem xét của lãnh đạo về ISMS
5.1.1 Vai trò và trách nhiệm về an ninh thông tin
5.1.1.1 Giám đốc an ninh
Giám đốc an ninh có trách nhiệm cung cấp định hướng và hỗ trợ an ninh thông qua các trách nhiệm sau:
- Bổ nhiệm Đại diện an ninh của Công ty
- Quyết định các chức danh trong hệ thống ANTT
- Thành lập Ban an ninh
- Xác định cấu trúc tổ chức an ninh
- Phê duyệt và ban hành các tài liệu của HTQL ANTT
- Đảm bảo các mục tiêu an ninh được xác định, đáp ứng các yêu cầu của Công ty và được tích hợp vào trong các quá trình liên quan
- Xem xét và phê duyệt các chính sách ANTT
- Cung cấp nguồn lực và tài chính cần thiết cho việc đảm bảo ANTT
- Duyệt nhiệm vụ, vai trò và trách nhiệm cho các vị trí chức danh có liên quan đến ANTT trong tổ chức
- Khởi xướng các kế hoạch và chương trình nhằm duy trì nhận thức ANTT
Trang 14- Quyết định các tiêu chí đánh giá rủi ro, Phê duyệt và xem xét kế hoạch xử
lý rủi ro và chấp nhận rủi ro còn lại
- Chủ trì cuộc họp xem xét của lãnh đạo về ISMS nhằm đảm bảo tính hiệu lực của các chính sách ANTT đã thiết lập
5.1.1.2 Đại diện an ninh
- Xác định vai trò và trách nhiệm cụ thể về an ninh thông tin trong Công ty
- Tham mưu cho Giám đốc an ninh về định hướng trong việc đảm bảo an ninh thông tin và tiếp nhận sự hỗ trợ cho các hoạt động và vận hành an ninh
- Phát triển, duy trì kế hoạch an ninh và đảm bảo thực thi các kế hoạch an ninh
- Chịu trách nhiệm chính trong việc xây dựng, duy trì và tham mưu sửa đổi
sổ tay ISMS, các thủ tục theo các điều khoản 4, 6, 8 và phụ lục A.10.1 của ISO 27001; các biện pháp quản lý theo phụ lục A của tiêu chuẩn ISO
- Tổ chức cuộc họp xem xét của lãnh đạo đối với hệ thống quản lý ANTT
- Xúc tiến, xem xét và phê duyệt các chương trình đào tạo nhận thức ANTT trong Công ty
- Tập hợp, xem xét, phân phối cho các người chủ để giải quyết, phân tích
và báo cáo các sự cố
- Giám sát kịp thời và phù hợp các báo cáo không phù hợp có yêu cầu các hành động khắc phục / phòng ngừa Triển khai giám sát hành động khắc phục, phòng ngừa
- Đảm bảo các biện pháp quản lý được thực thi
- Đảm bảo các hoạt động an ninh được thực thi tuân thủ các chính sách và thủ tục đã được xác định
Trang 15- Trình Giám đốc ANTT nhân sự được đề cử vào các chức danh trên cơ sở
đề nghị của các đơn vị
5.1.1.3 Ban an ninh
- Xây dựng, duy trì và thực thi các chính sách và thủ tục của ISMS
- Chịu trách nhiệm chính trong việc thực thi điều khoản 5 của ISO 27001
- Thực hiện đánh giá rủi ro, chuẩn bị kế hoạch xử lý rủi ro và tuyên bố áp dụng
- Đảm bảo ISMS phù hợp với các yêu cầu pháp luật hiện hành, yêu cầu hoạt động của Công ty
- Đánh giá hệ thống và dịch vụ mới nhằm đảm bảo an ninh trước khi đưa vào hệ thống, đồng thời xác định và thực hiện các biện pháp quản lý phù hợp
- Điều phối các hoạt động ANTT trong Công ty
- Tham mưu áp dụng các kỹ thuật, công nghệ mới trong việc đảm bảo ANTT trong ISMS
- Xác định và xử lý sự không phù hợp và gợi ý các hành động phản ứng các
sự cố an ninh thông tin
- Đồng phối hợp trong việc thực thi các biện pháp quản lý ANTT
- Tham gia xây dựng và duy trì các kế hoạch nhằm đảm bảo tính liên tục trong hoạt động chính
- Tham gia vào hoạt động xem xét của lãnh đạo
- Xây dựng và triển khai các chương trình đào tạo an ninh thông tin
- Báo cáo trong diễn đàn ANTT các vấn đề liên quan giữa 2 kỳ họp của diễn đàn
- Báo cáo kết quả đánh giá rủi ro cho diễn đàn ANTT thảo luận
- Phối hợp chặt chẽ với các bộ phận trong việc tổ chức thực hiện và giải quyết các vấn đề ANTT
- Tổng hợp, đề xuất Giám đốc an ninh các biện pháp đảm bảo và xử lý vi phạm ANTT
5.1.1.4 Đại diện an ninh đơn vị
- Thông qua phụ trách các đơn vị, phối hợp với Ban an ninh, phòng quản trị mạng trong việc đảm bảo an ninh thông tin trong đơn vị mình