An toàn thông tin dưới góc đọ quản lý hệ thống phù hợp tiêu chuẩn ISO/IEC 27001:2005

An toàn thông tin dưới góc đọ quản lý hệ thống phù hợp tiêu chuẩn ISO/IEC 27001:2005

ANTT d i góc đ qu n lý h th ng

phù h p tiêu chu n ISO/IEC 27001:2005

Nh ng v n đ c n quan tâm khi xây d ng ISMS

Gi y ch ng nh n toàn c u ISO/IEC 27001:2005 Thi t l p, áp d ng, duy trì và c i ti n HTQL ANTT Yêu c u tiêu chu n ISO/IEC27001:2005

D.A.S Vietnam Certification Ltd

2

Quá trình hình thành yêu c 亥u tiêu chu育n

1999

2000

ISO/IEC 27001:2005

BS 7799 - 2

ISO 17799: 2000

BS 7799 - 1

1995

2003

2000

1999

2002

BS 7799 - 2

2005

ISO/IEC 27000:2009

Các nguyên t c

và t v ng

B 瓜 tiêu chu育n

ISO/IEC 27000

ISO/IEC 27001:2005 Các yêu c 亥u

ISO/IEC 27004:2007

o l ng ISMS

ISO/IEC 27005:2007

Qu n lý r i ro ISMS

ISO/IEC 27002:2005

Mã Th c hành ISMS

ISO/IEC 27003:2010

H ng d n áp

d ng ISMS

ISO/IEC

27006:2007

Dành cho các

TC đánh giá và

ch ng nh n

D.A.S Vietnam Certification Ltd

4

ISO/IEC 27001:2005 – CÁC YÊU C U

(theo c u trúc tiêu chu n)

6 ánh giá

n i b ISMS

4.1 Yêu c u

chung

4.2 Thi t l p và

qu n lý ISMS

7.1 Khái quát

7.2 u vào

c a xem xét

7.3 u ra

c a xem xét

5.1 Cam k t

c a lãnh đ o

5.2 Qu n lý ngu n l c

5 Trách nhi m

4 H th ng

qu n lý an ninh

thông tin

7 Xem xét lãnh đ o

ISMS

8.1 C i ti n

th ng xuyên

8.2 Hành đ ng

kh c ph c

8.3 Hành đ ng phòng ng a

4.3 Các yêu c u v

tài li u

11 m 映c tiêu ki吋m soát và các ki吋m soát

An ninh thông tin c 栄a t鰻 ch泳c

thông

Duy trì và phát tri 吋n các

trong kinh doanh

ninh thông tin

Chính sách an ninh

ISMS

1

3

5 9

10

E 7

C 8

2

6

4

An ninh ngu 欝n nhân

l 詠c

An ninh v 壱t lý và môi

tr 逢運ng

Tuân th 栄

10

11

D.A.S Vietnam Certification Ltd

6

Mô hình PDCA áp d ng đ ki n trúc nên m i

m i quá trình ISMS

Các bên

quan

Giám sát và xem xét ISMS

Áp d ng và

v n hành ISMS

Duy trì và

c i ti n ISMS

PLAN

An ninh thông

qu n lý

Các bên quan tâm

Các yêu

c u và

mong

đ i v

Con ng i

V t lý

Các h đ ng

s n xu t

D ch v

i tác Khách hàng

Th u ph

Hình nh

uy tín

Ph n m m Thông tin

Tài s n

QU N LÝ R I RO – v n đ tr ng tâm khi ti p c n ISMS

m b o tính kinh doanh liên t c và tuân th ch đ nh và pháp đ nh

M c tiêu ki m soát r i ro – Ph ng pháp đánh giá r i ro

Tiêu chí ch p nh n r i ro

R i ro v s

h u tài s n

Các m i đe

d a

Nh ng

đi m y u

M t đ tin

c y, tính toàn

v n, tính s n sàng

Nh n bi t các m c đ b o m t, giá tr c a t t c các tài s n

o l ng, đánh giá tính hi u l c c a các ph ng pháp ki m soát

Nh n bi t nh ng r i ro còn sót l i

Ki m

soát

x lý

r i ro

Các hành

đ ng

c i

ti n

gi m

r i ro

D.A.S Vietnam Certification Ltd

8

AN NINH THÔNG TIN

o l ng m c đ r i ro đ i v i Tài s n thông tin

(d英 li羽u thông tin d逢噂i d衣ng b違n c泳ng, b違n m隠m, giao ti院p… )

PLAN

Xây d ng các m c tiêu

ki m soát an ninh TT

T

ch c

Khách

hàng

Nhà

cung

c p

Các

bên

quan

tâm

Các yêu

c u và

mong

đ i v

ISMS

T

ch c Khách hàng Nhà cung

c p Các bên quan tâm

An ninh thông tin

đ c

qu n lý

Thông tin

S n sàng

• M c đ b o m t giá tr tài s n thông tin

nh m gi m r i ro trong ph m vi áp d ng

và SOA

DO

Th c hi n các bi n pháp

ki m soát an ninh TT

CHECK

Giám sát và xem xét ki m soát an ninh thông tin

• Xác đ nh m c đ đe d a/ r i ro t i tài s n

(r医t cao, cao, trung bình, th医p ).

• i m y u d b t n công

• Th c hi n ki m soát an ninh d li u, ki m

soát r i ro theo m c tiêu và k ho ch x lý

r i ro đã đ t ra

• Báo cáo đánh giá r i ro

• ánh giá và đo l ng các bi n pháp ki m soát r i ro

• Nh n bi t và ch p nh n nh ng r i ro còn

sót l i.

ACT

Duy trì và c i ti n an ninh

thông tin

• Các quy t sách c i ti n đ gi m thi u r i

ro

• M c tiêu an ninh

•H th ng tài li u (th t c, quy đinh ), h s

• H t ng k thu t (camera quan sát, server,

cáp, máy móc… )

• Con ng i

AN NINH THÔNG TIN

Ki m soát r i ro và cách th c x lý r i ro đ i v i tài s n thông tin

2 Ki m soát các biên liên quan đ n

d li u

6 Qu n lý

ho t đ ng

và truy n

thông

3 Ki m soát môi

tr ng v t

lý l u tr

d li u

4 Ki m soát r i ro liên quan

đ n các

ph n m m

5 Ki m soát r i ro liên quan

đ n con

ng i

1 Nh n

bi t và

Ki m soát tài s n d

li u b n

m m

D li u

B n m m

S n sàng

D li u

B n m m

S n sàng

D li u

B n m m

S n sàng

D li u

B n m m

S n sàng

D li u:

- trong quá trình x lý î phân quy n truy c p, quy n thi t l p, xem, phê duy t…

- trong quá trình trao đ i î áp

d ng các ph ng pháp mã hóa d

li u đ c công b và th a nh n

- l u tr î đ nh k backup, ki m

soát tính toàn v n, b o m t và s n sàng

D.A.S Vietnam Certification Ltd

10

AN NINH THÔNG TIN

Ki m soát r i ro và cách th c x lý r i ro đ i v i tài s n thông tin

2 Ki m soát các biên liên quan đ n

d li u

6 Qu n lý

ho t đ ng

và truy n

thông

3 Ki m soát môi

tr ng v t

lý l u tr

d li u

4 Ki m soát r i ro liên quan

đ n các

ph n m m

5 Ki m soát r i ro liên quan

đ n con

ng i

1 Nh n

bi t và

Ki m soát tài s n d

li u b n

m m

D li u

B n m m

S n sàng

D li u

B n m m

S n sàng

D li u

B n m m

S n sàng

D li u

B n m m

S n sàng

2 Ki m soát các bên liên

- T ch c î ki m soát theo các m c tiêu ki m soát T ch c đã đ t ra…

- Nhà cung c p (d ch v đ ng truy n, host….) î quy đ nh và ki m

soát vi c th c hi n các cam k t b o

m t theo yêu c u c a T ch c….

- Khách hàng î th ng nh t hình

th c b o m t d li u (các quy đ nh

b o m t trong quá trình giao d ch,

vi c mã hóa d li u…)

AN NINH THÔNG TIN

Ki m soát r i ro và cách th c x lý r i ro đ i v i tài s n thông tin

2 Ki m soát các biên liên quan đ n

d li u

6 Qu n lý

ho t đ ng

và truy n

thông

3 Ki m soát các

r i ro đên

môi

tr ng v t

lý l u tr

4 Ki m soát r i ro liên quan

đ n các

ph n m m

5 Ki m soát r i ro liên quan

đ n con

ng i

1 Nh n

bi t và

Ki m soát tài s n d

li u b n

m m

D li u

B n m m

S n sàng

D li u

B n m m

S n sàng

D li u

B n m m

S n sàng

D li u

B n m m

S n sàng

3 Ki m soát các r i ro liên

l u tr d li u

- PC, Laptop î trách nhi m v i tài

s n, quy n truy c p, …

- Host î v trí phòng và đi u ki n

phòng Host, ki m soát ra vào, camera quan sát, login, h s tình

tr ng ho t đ ng, ph ng án đ i phó

v i tình hu ng kh n c p (m t đi n,

hacker…)

- Khu v c các máy tính î s đ b

trí khu v c đ t máy, các vành đai an

ninh b o v

-Thiên tai, h a ho n, l l t î báo cáo c a các c quan ch c n ng,

ph ng án đ i phó v i tình hu ng

kh n c p

-

-D.A.S Vietnam Certification Ltd

12

AN NINH THÔNG TIN

Ki m soát r i ro và cách th c x lý r i ro đ i v i tài s n thông tin

2 Ki m soát các biên liên quan đ n

d li u

6 Qu n lý

ho t đ ng

và truy n

thông

3 Ki m soát môi

tr ng v t

lý l u tr

d li u

4 Ki m soát r i ro liên quan

đ n các

ph n m m

5 Ki m soát r i ro liên quan

đ n con

ng i

1 Nh n

bi t và

Ki m soát tài s n d

li u b n

m m

D li u

B n m m

S n sàng

D li u

B n m m

S n sàng

4 Ki m soát r i ro liên quan

đ n các ph n m m

- ch ng trình ph n m m ng d ng

î có b n quy n,

- Network î xây d ng các vành đai

an ninh (firewall, gi i h n truy c p các trang web có r i ro cao, các

bi n pháp k thu t khác…

AN NINH THÔNG TIN

Ki m soát r i ro và cách th c x lý r i ro đ i v i tài s n thông tin

2 Ki m soát các biên liên quan đ n

d li u

6 Qu n lý

ho t đ ng

và truy n

thông

3 Ki m soát môi

tr ng v t

lý l u tr

d li u

4 Ki m soát r i ro liên quan

đ n các

ph n m m

5 Ki m soát r i ro liên quan

đ n con

ng i

1 Nh n

bi t và

Ki m soát tài s n d

li u b n

m m

D li u

B n m m

S n sàng

D li u

B n m m

S n sàng

D li u

B n m m

S n sàng

D li u

B n m m

S n sàng

5 Ki m soát r i ro liên quan

đ n con ng i

Ti p c n d li u, ph n m m ng

d ng î phân quy n truy c p, quy n phê duy t, ch nh s a, sao chép d

li u Xác đ nh nh ng cá nhân có

m c đ r i ro cao đ a ra các bi n

pháp ki m soát

- nh n th c v b o m t thông tin î

đào t o, giáo d c nh n th c v

chính sách b o m t và các nguyên

t c b o m t, nh n bi t nh ng r i ro

- tuân th các nguyên t c b o m t

thông tin đ i v i các cá nhân (đ c

bi t đ i v i cá nhân có m c đ r i

ro , đ nh k và đ t xu t ki m tra vi c

tuân th các nguyên t c b o m t…

D.A.S Vietnam Certification Ltd

14

AN NINH THÔNG TIN

o l ng m c đ r i ro và cách th c x lý r i ro đ i v i tài s n TT

PLAN

Xây d ng các m c tiêu

ki m soát an ninh TT

T

ch c

Khách

hàng

Nhà

cung

c p

Các

bên

quan

tâm

Các yêu

c u và

mong

đ i v

ISMS

T

ch c Khách hàng Nhà cung

c p Các bên quan tâm

An ninh thông tin

đ c

qu n ly

Thông tin

S n sàng

• M c đ b o m t giá tr tài s n thông tin

nh m gi m r i ro trong ph m vi áp d ng

và SOA

DO

Th c hi n các bi n pháp

ki m soát an ninh TT

CHECK

Giám sát và xem xét ki m soát an ninh thông tin

• Xác đ nh m c đ đe d a/ r i ro t i tài s n

(r医t cao, cao, trung bình, th医p ).

• i m y u d b t n công

• Th c hi n ki m soát an ninh d li u, ki m

soát r i ro theo m c tiêu và k ho ch x lý

r i ro đã đ t ra

• Báo cáo đánh giá r i ro

• ánh giá và đo l ng cádc bi n pháp ki m soát r i ro

• Nh n bi t và ch p nh n nh ng r i ro còn

sót l i.

ACT

Duy trì và c i ti n an ninh

thông tin

• Các quy t sách c i ti n đ gi m thi u r i

ro

• M c tiêu an ninh

•H th ng tài li u (th t c, quy đinh ), h s

• H t ng k thu t (camera quan sát, server,

cáp, máy móc… )

• Con ng i

AN NINH NGU 唄N NHÂN L衛C

M 映c tiêu ki吋m soát: ngu欝n nhân l詠c trong n瓜i b瓜 t鰻 ch泳c, nhà th亥u

và bên th 泳 ba nh壱n th泳c và th詠c hi羽n ISMS

T 鰻 ch泳c

Trong th 運i gian

D.A.S Vietnam Certification Ltd

16

Ki m soát s xâm nh p trái phép, m t ho c làm gián đo n các ho t

đ ng c a T ch c

An ninh các khu v c

• Vành đai an toàn v t lý

•Ki m soát xâm nh p v t lý

•An toàn các phòng ban,

ph ng ti n,

•Phòng ch ng nh ng đe d a

t môi tr ng và môi tr ng

bên ngoài

•An ninh khu v c làm vi c

•Các khu v c truy c p công

c ng…

AN NINH V T LÝ VÀ MÔI TR NG

An ninh thi t b

•V trí thi t b và b o v

•Các ph ng ti n h tr

•An toàn dây cáp

•B o d ng thi t b

•An toàn các thi t b đ t bên

ngoài

•An toàn trong lo i b và tái

s d ng thi t b

•Di chuy n tài s n

Con ng i

V t lý

Các h đ ng

s n xu t

D ch v

i tác Khách hàng

Th u ph

Hình nh

uy tín

Ph n m m Thông tin

Tài s n

M c tiêu ki m soát r i ro – Ph ng pháp đánh giá r i ro

Tiêu chí ch p nh n r i ro

R i ro v s

h u tài s n

Các m i đe

d a

Nh ng

đi m y u

M t đ tin

c y, tính toàn

v n, tính s n sàng

Nh n bi t các m c đ b o m t, giá tr c a t t c các tài s n

o l ng, đánh giá tính hi u l c c a các ph ng pháp ki m soát

Nh n bi t nh ng r i ro còn sót l i

Ki m

soát

x lý

r i ro

Các hành

đ ng

c i

ti n

gi m

r i ro

QU N LÝ R I RO – v n đ tr ng tâm khi ti p c n ISMS

m b o tính kinh doanh liên t c và tuân th ch đ nh và pháp đ nh

D.A.S Vietnam Certification Ltd

18

1 Cam k t xây d ng H th ng ISMS

3 Xây d ng chính sách ISMS

4 Xác đ nh tài s n và giá tr tài s n

5 Xác đ nh các yêu c u c a lu t đ nh,

ch đ nh và yêu c u c a khách hàng

6 Nh n bi t r i ro, phân tích – l ng

hóa r i ro, đánh giá r i ro và l a ch n

các ph ng án x lý r i ro.

7 Xác đ nh các m c tiêu ki m soát và

ph ng pháp ki m soát

8 Thi t l p h th ng tài li u theo yêu

c u ISO/IEC 27001:2005

9 Công b áp d ng – SOA

10 Th c hi n, v n hành, giám sát, xem

xét, duy trì và c i ti n an ninh thông

tin

HTQL ANTT phù

ISO/IEC27001:2005

Gi 医y ch泳ng nh壱n ISO/IEC 27001:2005 giá tr鵜 toàn c亥u

D.A.S Vietnam Certification Ltd

20

d ng HTQLANTT

1

CSO/ ISMR

CSO/ ISMR là Lãnh đ o cao nh t nh n th c yêu c u ISO/IEC

27001:2005

Thi t b

đ ng b

L u tr tài s n thông tin: L u gi b n c ng (phòng, t , khóa ) L u tr b n

m m: Server, h th ng backup d li u n i b , t xa, d li u, máy h y tài

li u…

Truy c p, x lý và truy n t i thông tin: ph n m m ng d ng có b n quy n,

thi t k và xây d ng, áp d ng h th ng an ninh m ng, đ ng cáp ch ng nhi u…

Thi t b ki m soát xâm nh p v t lý: H th ng camera quan sát, ki m soát

th t , vân tay, UPS, máy phát đi n, h th ng phòng ch ng cháy n …

Các thi t b theo yêu c u c a ngành, khách hàng và lu t pháp.

Con ng i Nhân s c a T ch c và các bên liên quan ph i nh n th c và tuân th

H th ng

tài li u, h s

Các quy đ nh, th t c/ quy trình, h ng d n…và h s đáp ng yêu c u c a

T ch c, các bên quan tâm, lu t pháp và tiêu chu n ISO/IEC27001:2005