Th ầu phụHình ảnh uy tín Ph ần mềm Thông tin Tài s ản Đảm bảo tính kinh doanh liên tục và tuân thủ chế định và pháp định M ục tiêu kiểm soát rủi ro – Phương pháp đánh giá rủi ro M ất độ
Trang 1ANTT d ưới góc độ quản lý hệ thống
Trang 2D.A.S Vietnam Certification Ltd
Trang 3ISO/IEC 27000:2009
Các nguyên tắc
và từ vựng
B ộ tiêu chuẩn ISO/IEC 27000
ISO/IEC 27001:2005
Các yêu c ầu
ISO/IEC 27004:2007
Đo lường ISMS
ISO/IEC 27005:2007
Quản lý rủi ro ISMS
ISO/IEC 27002:2005
Mã Thực hành ISMS
ISO/IEC 27003:2010
Trang 4D.A.S Vietnam Certification Ltd
4
(theo c ấu trúc tiêu chuẩn)
4.3 Các yêu c ầu về
tài li ệu
Trang 511 m ục tiêu kiểm soát và các kiểm soát
Trang 6D.A.S Vietnam Certification Ltd
6
Các bên
quan
Giám sát và xem xét ISMS
qu ản lý
Các bên quan tâm
Trang 7Th ầu phụ
Hình ảnh
uy tín
Ph ần mềm Thông tin
Tài s ản
Đảm bảo tính kinh doanh liên tục và tuân thủ chế định và pháp định
M ục tiêu kiểm soát rủi ro – Phương pháp đánh giá rủi ro
M ất độ tin
c ậy, tính toàn
v ẹn, tính s ẵn sàng
Nh ận biết các mức độ bảo mật, giá trị của tất cả các tài sản
Đo lường, đánh giá tính hiệu lực của các phương pháp kiểm soát
Nh ận biết những rủi ro còn sót lại
c ải
ti ến
gi ảm
r ủi ro
Trang 8D.A.S Vietnam Certification Ltd
8
AN NINH THÔNG TIN
Đo lường mức độ rủi ro đối với Tài sản thông tin
(dữ liệu thông tin dưới dạng bản cứng, bản mềm, giao tiếp… )
c ấp Các bên quan tâm
An ninh thông tin được
qu ản lý
Thông tin
S ẵn sàng
• M ức độ bảo mật giá trị tài sản thông tin
nh ằm giảm rủi ro trong phạm vi áp dụng
• Xác định mức độ đe dọa/ rủi ro tới tài sản
(rất cao, cao, trung bình, thấp ).
•Điểm yếu dễ bị tấn công
• Th ực hiện kiểm soát an ninh dữ liệu, kiểm soát r ủi ro theo mục tiêu và kế hoạch xử lý
r ủi ro đã đặt ra
• Báo cáo đánh giá rủi ro
•Đánh giá và đo lường các biện pháp kiểm soát r ủi ro
• Nh ận biết và chấp nhận những rủi ro còn sót l ại.
•H ệ thống tài liệu (thủ tục, quy đinh ), hồ sơ
• H ạ tầng kỹ thuật (camera quan sát, server, cáp, máy móc… )
• Con ng ười
Trang 9AN NINH THÔNG TIN
Ki ểm soát rủi ro và cách thức xử lý rủi ro đối với tài sản thông tin
2 Ki ểm soát các biên liên quan đến
tr ường vật
lý l ưu trữ
d ữ liệu
4 Ki ểm soát r ủi ro liên quan đến các
ph ần mềm
5 Ki ểm soát r ủi ro liên quan đến con
ng ười
1 Nh ận
bi ết và
Ki ểm soát tài s ản dữ
- trong quá trình trao đổi Î áp
d ụng các phương pháp mã hóa dữ
li ệu được công bố và thừa nhận
- l ưu trữ Î định kỳ backup, kiểm
soát tính toàn v ẹn, bảo mật và sẵn sàng
Trang 10
D.A.S Vietnam Certification Ltd
10
AN NINH THÔNG TIN
Ki ểm soát rủi ro và cách thức xử lý rủi ro đối với tài sản thông tin
2 Ki ểm soát các biên liên quan đến
tr ường vật
lý l ưu trữ
d ữ liệu
4 Ki ểm soát r ủi ro liên quan đến các
ph ần mềm
5 Ki ểm soát r ủi ro liên quan đến con
ng ười
1 Nh ận
bi ết và
Ki ểm soát tài s ản dữ
- Nhà cung c ấp (dịch vụ đường truy ền, host….) Î quy định và kiểm soát vi ệc thực hiện các cam kết bảo
m ật theo yêu cầu của Tổ chức….
- Khách hàng Î th ống nhất hình
th ức bảo mật dữ liệu (các quy định
b ảo mật trong quá trình giao dịch,
vi ệc mã hóa dữ liệu…)
Trang 11
AN NINH THÔNG TIN
Ki ểm soát rủi ro và cách thức xử lý rủi ro đối với tài sản thông tin
2 Ki ểm soát các biên liên quan đến
r ủi ro đên môi
tr ường vật
lý l ưu trữ
4 Ki ểm soát r ủi ro liên quan đến các
ph ần mềm
5 Ki ểm soát r ủi ro liên quan đến con
ng ười
1 Nh ận
bi ết và
Ki ểm soát tài s ản dữ
3 Ki ểm soát các rủi ro liên
tr ạng hoạt động, phương án đối phó
v ới tình huống khẩn cấp (mất điện, hacker…)
- Khu v ực các máy tính Î s ơ đồ bố trí khu v ực đặt máy, các vành đai an ninh b ảo vệ
-Thiên tai, h ỏa hoạn, lũ lụt Î báo cáo c ủa các cơ quan chức năng,
ph ương án đối phó với tình huống
kh ẩn cấp
-
Trang 12-D.A.S Vietnam Certification Ltd
12
AN NINH THÔNG TIN
Ki ểm soát rủi ro và cách thức xử lý rủi ro đối với tài sản thông tin
2 Ki ểm soát các biên liên quan đến
tr ường vật
lý l ưu trữ
d ữ liệu
4 Ki ểm soát r ủi ro liên quan đến các
ph ần mềm
5 Ki ểm soát r ủi ro liên quan đến con
ng ười
1 Nh ận
bi ết và
Ki ểm soát tài s ản dữ
- Network Î xây d ựng các vành đai
an ninh (firewall, gi ới hạn truy cập các trang web có r ủi ro cao, các
bi ện pháp kỹ thuật khác…
Trang 13AN NINH THÔNG TIN
Ki ểm soát rủi ro và cách thức xử lý rủi ro đối với tài sản thông tin
2 Ki ểm soát các biên liên quan đến
tr ường vật
lý l ưu trữ
d ữ liệu
4 Ki ểm soát r ủi ro liên quan đến các
ph ần mềm
5 Ki ểm soát r ủi ro liên quan đến con
ng ười
1 Nh ận
bi ết và
Ki ểm soát tài s ản dữ
- nh ận thức về bảo mật thông tin Î
đào tạo, giáo dục nhận thức về chính sách b ảo mật và các nguyên
t ắc bảo mật, nhận biết những rủi ro
- tuân th ủ các nguyên tắc bảo mật
Î h ợp đồng và cam kết bảo mật thông tin đối với các cá nhân (đặc
bi ệt đối với cá nhân có mức độ rủi
ro , định kỳ và đột xuất kiểm tra việc tuân th ủ các nguyên tắc bảo mật…
Trang 14
D.A.S Vietnam Certification Ltd
14
AN NINH THÔNG TIN
Đo lường mức độ rủi ro và cách thức xử lý rủi ro đối với tài sản TT
c ấp Các bên quan tâm
An ninh thông tin được
qu ản ly
Thông tin
S ẵn sàng
• M ức độ bảo mật giá trị tài sản thông tin
nh ằm giảm rủi ro trong phạm vi áp dụng
• Xác định mức độ đe dọa/ rủi ro tới tài sản
(rất cao, cao, trung bình, thấp ).
•Điểm yếu dễ bị tấn công
• Th ực hiện kiểm soát an ninh dữ liệu, kiểm soát r ủi ro theo mục tiêu và kế hoạch xử lý
r ủi ro đã đặt ra
• Báo cáo đánh giá rủi ro
•Đánh giá và đo lường cádc biện pháp kiểm soát r ủi ro
• Nh ận biết và chấp nhận những rủi ro còn sót l ại.
•H ệ thống tài liệu (thủ tục, quy đinh ), hồ sơ
• H ạ tầng kỹ thuật (camera quan sát, server, cáp, máy móc… )
• Con ng ười
Trang 15AN NINH NGU ỒN NHÂN LỰC
M ục tiêu kiểm soát: nguồn nhân lực trong nội bộ tổ chức, nhà thầu
và bên th ứ ba nhận thức và thực hiện ISMS
Tài s ản
c ủa
T ổ chức
Trang 16D.A.S Vietnam Certification Ltd
16
Ki ểm soát sự xâm nhập trái phép, mất hoặc làm gián đoạn các hoạt động của Tổ chức
•An ninh khu v ực làm việc
•Các khu v ực truy cập công
c ộng…
AN NINH V ẬT LÝ VÀ MÔI TR ƯỜNG
•V ị trí thiết bị và bảo vệ
•Các ph ương tiện hỗ trợ
•An toàn dây cáp
•B ảo dưỡng thiết bị
•An toàn các thi ết bị đặt bên ngoài
•An toàn trong lo ại bỏ và tái
s ử dụng thiết bị
•Di chuy ển tài sản
Trang 17Th ầu phụ
Hình ảnh
uy tín
Ph ần mềm Thông tin
M ất độ tin
c ậy, tính toàn
v ẹn, tính s ẵn sàng
Nh ận biết các mức độ bảo mật, giá trị của tất cả các tài sản
Đo lường, đánh giá tính hiệu lực của các phương pháp kiểm soát
Nh ận biết những rủi ro còn sót lại
c ải
ti ến
gi ảm
r ủi ro
Đảm bảo tính kinh doanh liên tục và tuân thủ chế định và pháp định
Trang 18D.A.S Vietnam Certification Ltd
18
Trình t ự thiết lập
1 Cam k ết xây dựng Hệ thống ISMS
2 Xác định phạm vi, ranh giới ISMS
3 Xây d ựng chính sách ISMS
4 Xác định tài sản và giá trị tài sản
5 Xác định các yêu cầu của luật định,
ch ế định và yêu cầu của khách hàng
6 Nh ận biết rủi ro, phân tích – lượng
hóa r ủi ro, đánh giá rủi ro và lựa chọn
các ph ương án xử lý rủi ro.
7 Xác định các mục tiêu kiểm soát và
ph ương pháp kiểm soát
8 Thi ết lập hệ thống tài liệu theo yêu
c ầu ISO/IEC 27001:2005
9 Công b ố áp dụng – SOA
10 Th ực hiện, vận hành, giám sát, xem
xét, duy trì và c ải tiến an ninh thông
Trang 19Gi ấy chứng nhận ISO/IEC 27001:2005 giá trị toàn cầu
Trang 20D.A.S Vietnam Certification Ltd
L ưu trữ tài sản thông tin: Lưu giữ bản cứng (phòng, tủ, khóa ) Lưu trữ bản
mềm: Server, hệ thống backup dữ liệu nội bộ, từ xa, ổ dữ liệu, máy hủy tài
liệu…
Truy c ập, xử lý và truyền tải thông tin: phần mềm ứng dụng có bản quyền,
thiết kế và xây dựng, áp dụng hệ thống an ninh mạng, đường cáp chống nhiễu…
Thi ết bị kiểm soát xâm nhập vật lý: Hệ thống camera quan sát, kiểm soát
thẻ từ, vân tay, UPS, máy phát điện, hệ thống phòng chống cháy nổ…
Các thi ết bị theo yêu cầu của ngành, khách hàng và luật pháp.
Con ng ười Nhân sự của Tổ chức và các bên liên quan phải nhận thức và tuân thủ
H ệ thống
tài li ệu, hồ sơ Các quy Tổ chức, các bên quan tâm, luật pháp và tiêu chuẩn ISO/IEC27001:2005định, thủ tục/ quy trình, hướng dẫn…và hồ sơ đáp ứng yêu cầu của
Trang 21T ổ chức chứng nhận DAS – UK
Điện thoại: 04-37763177 – 04.35539135
dasinfo@dasvietnam.com
Website:http://www.dasvietnam.com