Việc xây dựng và áp dụng thành công hệ thống quản lý này là minh chứng cho việc đảm bảo an ninh thông tin cho khách hàng của mình.. Dịch vụ giá trị gia tăng miễn phí: Công ty sẽ giới thi
Trang 1TÀI LIỆU GIỚI THIỆU DỊCH VỤ TƯ VẤN VÀ ĐÀO TẠO
XÂY DỰNG HỆ THỐNG QUẢN LÝ AN NINH THÔNG TIN
THEO TIÊU CHUẨN ISO/IEC 27001:2013
Liên hệ : Nguyễn Trung Kiên
Mobile : 090.338.5154 Email : kiennt@masci.com.vn
kiennguyentdc@gmail.com
Trang 2GIỚI THIỆU DỊCH VỤ TƯ VẤN ISO/IEC 27001:2013
Với độ ngũ chuyên gia được đào tạo bài bản, chuyên nghiệp, có nhiều năm kinh nghiệm làm việc trong li ̃nh vực quản lý an ninh thông tin từ trước khi tiêu chuẩn ISO/IEC 27001 được ban hành, do đó có thể đánh giá, phân ti ́ch và tư vấn xây dựng và áp dụng hệ thống quản lý an ninh thông tin một cách có hiệu quả, góp phần nâng cao hiệu quả hoạt động của doanh nghiệp, giảm thiểu được rủi ro an ninh thông tin cho doanh nghiệp
Việc xây dựng và áp dụng thành công hệ thống quản lý này là minh chứng cho việc đảm bảo an ninh thông tin cho khách hàng của mình
Trong nhiều năm qua, các chuyên gia của công ty đã tư vấn, đào tạo và tham gia đánh giá chứng nhận cho hơn 20 đơn vi ̣ trong li ̃nh vực này
Dịch vụ giá trị gia tăng (miễn phí):
Công ty sẽ giới thiệu miễn phí tổng quan về Hệ thống quản lý an ninh thông tin theo bộ tiêu chuẩn ISO/IEC 27000, trình tự thực hiện và dự kiến khối lượng công việc cho Quý doanh nghiệp nhằm giúp cho CBCNV hiểu rõ hơn về bộ tiêu chuẩn ISO/IEC
27000 trước khi quyết định ký hợp đồng thực hiện dự án
Hỗ trợ xây dựng, thuyết minh đề án
Hỗ trợ trong đánh giá chứng nhận
Hỗ trợ, trao đổi thông tin trong quá trình đơn vị duy trì hệ thống
Trang 3Tiếp xúc ban đầu Giới thiệu ISO/IEC 27000 Xác đi ̣nh phạm vi ISMS Hợp đồng, kế hoạch Khảo sát thực trạng
Đào tạo nhận thức, XD tài liệu
Thiết lập chính sách, mục tiêu
Xác định bối cảnh nội bộ và bên
ngoài
Xác định các bên quan tâm và
yêu cầu về của họ Xây dựng phương pháp đánh
giá rủi ro
Xây dựng các tiêu chí chấp nhận
rủi ro Đánh giá rủi ro Tùy chọn xử lý rủi ro
Lựa chọn mục tiêu kiểm soát và
biện pháp kiểm soát Xây dựng kế hoạch xử lý Risk
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
Trang 4(Ghi chú: tổng thời gian xây dựng đến khi đánh giá chứng nhận tùy thuộc vào nguồn
lực, nhận thức của tổ chức, khoảng từ 06 đến 10 tháng)
Soạn thảo và soát xét tài liệu (gồm trách nhiệm quyền hạn)
Áp dụng: Thực hiện kế hoạch xử lý Risk, các biện pháp kiểm soát đã chọn, các thủ tục vận
hành ISMS
Đào tạo chuyên gia đánh giá
nội bộ Tiến hành đánh giá nội bộ Khắc phục sau đánh giá
Họp xem xét của lãnh đạo về
ANTT
Đánh giá chứng nhận
Nhận Giấy chứng nhận, duy trì
và cải tiến hệ thống
17
18
19
20
21
22
23
24
XD bảng tuyên bố áp dụng
16
Trang 5Hệ thống quản lý an ninh thông tin
ISO/IEC 27001:2013
Giới thiệu chung
ISO 27001 là tiêu chuẩn về hệ thống quản lý an ninh thông tin (ISMS–Information Security Management System) do Tổ chức tiêu chuẩn hoá quốc tế (ISO) phát triển và ban hành vào tháng 10 năm 2005, được soát xét vào tháng 10/2013 Tiêu chuẩn cung cấp một mô hình để thiết lập, áp dụng, vận hành, giám sát, xem xét, duy trì, cải tiến ISMS và có thể áp dụng cho hầu hết mọi loại hình tổ chức như: các tổ chức kinh doanh – thương mại, Chính phủ, tổ chức phi lợi nhuận
ISO/IEC 27002 “bộ quy tắc thực hành tốt an ninh thông tin” là tiêu chuẩn bổ sung cho ISO 27001, nêu cụ thể các biện pháp kiểm soát an ninh trong phụ lục A của ISO 27001, được lựa chọn và áp dụng như một phần của hệ thống an ninh thông tin Hai tiêu chuẩn này hoà hợp và liên quan mật thiết với nhau
ISO 27001 qui định những yêu cầu đối với hệ thống an ninh thông tin là cơ sở để bên thứ ba xem xét đánh giá cấp chứng chỉ
ISO 27001 được xây dựng hài hoà, tương thích với các hệ thống quản lý khác như: ISO 9001:2015, ISO 14001:2015 và đã có ảnh hưởng trên phạm vi toàn cầu
Lợi ích của việc áp dụng ISO 27001:2013
Chứng tỏ cam kết đảm bảo về an ninh thông tin ở mọi cấp độ trong tổ chức
Đảm bảo tính mật, toàn vẹn và sẵn sàng của tài sản thông tin
Tạo niềm tin cho đối tác và khách hàng
Giảm thiếu rủi ro gặp phải
Nhanh chóng khắc phục các sự cố xảy ra
Giảm giá thành và các chi phí bảo hiểm
Giảm chi phí sửa chữa, trang bị lại thiết bị
Nâng cao nhận thức và trách nhiệm của tất cả các nhân viên về an ninh thông tin
Nâng cao hình ảnh của cơ quan, đơn vị
Tạo lợi thế cạnh tranh trong đấu thầu, kinh doanh
Thể hiện được tính cạnh tranh quốc tế, giúp cho việc kinh doanh có được sự công nhận ngay lập tức trên toàn thế giới
Trang 6ISO/IEC 27000:2014 – Các nguyên tắc và từ vựng
ISO/IEC 27001:2013 – Các yêu cầu của hệ thống quản lý an ninh thông tin
ISO/IEC 27002:2013 – Quy tắc thực hành an ninh thông tin
ISO/IEC 27003:2007 – Hướng dẫn áp dụng Hệ thống quản lý an ninh thông tin
ISO/IEC 27004:2006 – Hướng dẫn Đo lường Hệ thống quản lý an ninh thông tin
ISO/IEC 27005:2011 – Hướng dẫn Quản lý rủi ro HTQL an ninh thông tin
ISO/IEC 27006:2011 – Các yêu cầu đối với tổ chức chứng nhận
ISO/IEC 27007:2011 – Hướng dẫn đánh giá nội bộ HTQL an ninh thông tin
Trang 71 Bối cảnh của tổ chức (hiểu nội bộ và bên ngoài; xác định phạm vi áp dụng)
2 Lãnh đạo (yêu cầu chứng minh việc cam kết, thiết lập chính sách, mục tiêu, thiết lập trách nhiệm và quyền hạn
3 Hoạch định:
Xác định rủi ro (yêu cầu hoạch định các hoạt động để xác định rủi ro)
Xác định các cơ hội để đạt được kết quả mong muốn, giảm thiểu rủi ro (yêu cầu hoạch định các hoạt động để xác định cơ hội)
Cách thức đánh giá hiệu quả của các hoạt động trên
Thiết lập chuẩn mực (đánh giá và chấp nhận)
Nhận biết các rủi ro
Phân tích rủi ro
Lượng hóa rủi ro
Chọn tùy chọn xử lý (chọn 1 trong 4 tùy chọn)
Chọn biện pháp kiểm soát (có thể ngoài phụ lục A)
Tuyên bố áp dụng các biện pháp kiểm soát (kể cả biện pháp ngoài phụ lục A)
Xây dựng kế hoạch xử lý rủi ro
Phê duyệt rủi ro còn lại
Thiết lập MT ANTT
Hoạch định cách thức để đạt mục tiêu (5W, 1H)
4 Hỗ trợ
- Nguồn lực (nhân lực, vật lực, thời gian)
- Xác định năng lực nhân sự
- Đào tạo nhận thức
- Xác định kên trao đổi thông tin (nội bộ và bên ngoài – 5W, 1H)
- Kiểm soát tài liệu, hồ sơ (thông tin được lập thành tài liệu)
Trang 8- Thực hiện các quá trình
- Thực hiện đánh giá rủi ro ANTT
- Thực hiện xử lý rủi ro ANTT
- Kiểm soát việc thực hiện
- Kiểm soát các quá trình thuê ngoài
6 Đánh giá việc thực hiện
Giám sát, đo lường, phân tích và đánh giá
Đánh giá nội bộ Hệ thống ISMS
Xem xét của lãnh đao về Hệ thống ISMS
7 Cải tiến
Sự không phù hợp
Cải tiến liên tục
Kèm theo là 1 phụ lục quan trọng gồm 114 biện pháp kiểm soát, 35 mục tiêu kiểm soát được phân thành 14 nhóm yếu tố, sau :
1 Chính sách an ninh thông tin (A.5)
2 Tổ chức an ninh thông tin (A.6)
3 An ninh nguồn nhân lực (A.7)
4 Quản lý tài sản (A.8)
5 Kiểm soát truy cập (A.9)
6 Mã hóa (A.10)
7 An ninh vật lý và môi trường (A.11)
8 An ninh vận hành (A.12)
9 An ninh trong trao đổi thông tin (A.13)
10 Tiếp nhận, phát triển và duy trì Hệ thống (A.14)
11 Mối quan hệ với nhà cung ứng (A.15)
12 Quản lý sự cố an ninh thông tin (A.16)
13 An ninh trong đảm bảo tính liên tục trong hoạt động (A.17)
14 Sự tuân thủ (A.18)
Mọi chi tiết xin liên hệ:
Nguyễn Trung Kiên Email: kiennt@masci.com.vn
kiennguyentdc@gmail.com