NGHIÊN CỨU VẤN ĐỀ VỀ PHÁT TRIỂN CHÍNH SÁCH CHO TỔ CHỨC VÀ ÁP DỤNG ĐỐI VỚI KHOA AN TOÀN THÔNG TIN

MỤC LỤC MỤC LỤC II DANH MỤC TỪ VIẾT TẮT V DANH MỤC HÌNH VẼ VI LỜI NÓI ĐẦU VII CHƯƠNG 1: TỔNG QUAN VỀ CHÍNH SÁCH AN TOÀN THÔNG TIN 1 1.1. Khái niệm về an toàn thông tin 1 1.2. Tình hình an ninh thông tin hiện nay 3 1.2.1. Tình hình an ninh thông tin trên thế giới 3 1.2.2. Tình hình an ninh thông tin tại Việt Nam 7 1.3. Khái quát về chính sách an toàn thông tin 9 1.3.1. Khái niệm chính sách an toàn thông tin 9 1.3.2. Tầm quan trọng của chính sách an toàn thông tin 10 CHƯƠNG 2: GIỚI THIỆU VỀ BỘ TIÊU CHUẨN ISO TRONG LĨNH VỰC QUẢN LÝ AN TOÀN THÔNG TIN 13 2.1. Giới thiệu chung 13 2.2. Các tiêu chuẩn của bộ tiêu chuẩn ISOIEC 27000 15 2.3. Tiêu chuẩn ISOIEC 27001: 2005 17 2.3.1. Giới thiệu chung 17 2.3.2. Lợi ích và tình hình ứng dụng của tiêu chuẩn ISOIEC 27001 18 2.3.3. Nội dung của tiêu chuẩn ISOIEC 27001 19 2.3.3.1. Phạm vi áp dụng 19 2.3.3.2. Thuật ngữ và định nghĩa 20 2.3.3.3. Cấu trúc của bộ tiêu chuẩn 22 2.3.4. Xây dựng hệ thống quản lý an toàn thông tin theo tiêu chuẩn ISOIEC 27001 (Information Security Management System ISMS) 25 2.3.4.1. Lợi ích khi triển khai áp dụng hệ thống quản lý an toàn thông tin (ISMS) 25 2.3.4.2. Quy trình thực hiện ISMS 26 2.3.5. Quá trình chứng nhận ISOIEC 27001 30 2.4. Tiêu chuẩn ISOIEC 27002: 2005 32 2.4.1. Giới thiệu chung 32 2.4.2. Tình hình ứng dụng ISOIEC 27002 33 2.4.2.1. Tình hình ứng dụng ISOIEC 27002 trên thế giới 33 2.4.2.2. Tình hình ứng dụng ISOIEC 27002 tại Việt Nam 34 2.4.3. Phạm vi áp dụng 35 2.4.4. Nội dung của bộ tiêu chuẩn 35 2.5. Sự khác biệt giữa ISOIEC 27001: 2005 với ISOIEC 27002: 2005 37 CHƯƠNG 3: XÂY DỰNG CHÍNH SÁCH QUẢN LÝ AN TOÀN THÔNG TIN CHO KHOA AN TOÀN THÔNG TIN CỦA HỌC VIỆN KỸ THUẬT MẬT MÃ 38 3.1. Khảo sát và xác định nhu cầu 39 3.1.1. Sơ lược về Khoa An toàn thông tin của Học viện Kỹ thuật Mật mã 39 3.1.2. Hiện trạng triển khai an toàn thông tin tại Khoa 40 3.1.3. Mục tiêu an toàn của Khoa An toàn thông tin 41 3.2. Phân tích nguy cơ đe dọa đến hệ thống mạng của Khoa An toàn thông tin 41 3.2.1. Nguy cơ từ thiên nhiên, môi trường vật lý 41 3.2.2. Nguy cơ từ bên ngoài 42 3.2.3. Nguy cơ từ bên trong 42 3.3. Xây dựng chính sách quản lý an toàn thông tin cho Khoa An toàn thông tin 43 3.3.1. Cơ sở xây dựng chính sách 43 3.3.2. Chi tiết chính sách đề xuất đảm bảo an toàn thông tin cho Khoa an toàn thông tin 44 3.3.2.1. Chính sách an toàn 44 3.3.2.2. Tổ chức đảm bảo an toàn thông tin 45 3.3.2.3. Quản lý tài sản 49 3.3.2.4. Đảm bảo an toàn tài nguyên con người 51 3.3.2.5. Đảm bảo an toàn vật lý và môi trường 52 3.3.2.6. Quản lý truyền thông và vận hành 57 3.3.2.7. Quản lý truy cập 67 3.3.2.8. Tiếp nhận, phát triển và duy trì các hệ thống thông tin 73 3.3.2.9. Quản lý các sự cố an toàn thông tin 78 3.3.2.10. Quản lý sự liên tục của hoạt động nghiệp vụ 79 3.3.2.11. Tuân thủ chính sách và các yêu cầu pháp lý khác 80 KẾT LUẬN 82 TÀI LIỆU THAM KHẢO 83

BAN CƠ YẾU CHÍNH PHỦ

KHOA AN TOÀN THÔNG TIN

Ngành: Công nghệ thông tinChuyên ngành: An toàn thông tin

Mã số: 52.48.02.01

Hà Nội, 2016

BAN CƠ YẾU CHÍNH PHỦ

KHOA AN TOÀN THÔNG TIN

Ngành: Công nghệ thông tinChuyên ngành: An toàn thông tin

Mã số: 52.48.02.01

Hà Nội, 2016

LỜI CẢM ƠN

Sau hơn 3 tháng nỗ lực tìm hiểu, nghiên cứu và thực hiện đồ án tốt

nghiệp về nội dung: “Nghiên cứu vấn đề về phát triển chính sách cho tổ chức và áp dụng đối với Khoa an toàn thông tin” đã cơ bản hoàn thành.

Mục tiêu của đề tài là tập trung tìm hiểu về bộ tiêu chuẩn iso trong lĩnh vựcquản lý an toàn thông tin, về quy trình thiết lập tiêu chuẩn, các bước triểnkhai ISMS, đồng thời đề xuất được những chính sách áp dụng đối với Khoa

an toàn thông tin

Trong thời gian làm đồ án tốt nghiệp, em đã nhận được nhiều sự quantâm, giúp đỡ từ phía nhà trường, thầy cô, gia đình và bạn bè Chính điềunày đã mang lại cho em sự động viên rất lớn để em hoàn thành tốt đồ áncủa mình

Trước tiên em xin gửi lời cảm ơn chân thành đến cô Nguyễn Thị ThuThủy giảng viên Khoa an toàn thông tin người đã tận tình hướng dẫn, chỉbảo em trong suốt quá trình làm đồ án

Em cũng xin chân thành cảm ơn các thầy cô giáo trong trường Học viện

Kỹ Thuật Mật Mã nói chung, các thầy cô trong Khoa an toàn thông tin nóiriêng đã tạo điều kiện, môi trường học tập và truyền đạt cho em những kiếnthức, kinh nghiệm quý báu trong suốt thời gian qua

Cuối cùng, em xin chân thành cảm ơn gia đình và bạn bè, đã luôn tạođiều kiện, quan tâm, giúp đỡ, động viên em trong suốt quá trình học tập vàhoàn thành đồ án tốt nghiệp

MỤC LỤC

DANH MỤC TỪ VIẾT TẮT

BSI (British Standards Institution) Viện Tiêu Chuẩn Anh Quốc

ISO (International Organization for

Standardization)

Tổ chức tiêu chuẩn quốc tế

IEC (International Electrotechnical

DANH MỤC HÌNH VẼ

LỜI NÓI ĐẦU

Cùng với sự bùng nổ vô cùng lớn của nền kinh tế hiện đại, kéo theo làmột xã hội phát triển toàn diện Việc công nghệ thông tin phát triển mạnh mẽkhông chỉ trong các tổ chức, doanh nghiệp mà còn trong mọi mặt của đờisống xã hội Điều đó đã và đang thay đổi cuộc sống con người về mọi mặtkhác nhau, giúp cải thiện, nâng cao trình độ, thúc đẩy phát triển toàn diện.Tuy nhiên, bên cạnh những mặt tích cực đó nó cũng tiềm ẩn nhiều nguy cơ rủi

ro làm tê liệt hoạt động của hệ thống Khi hệ thống công nghệ thông tin hoặc

cơ sở dữ liệu gặp sự cố thì hoạt động của các đơn vị này sẽ bị ảnh hưởngnghiêm trọng và thậm chí có thể bị tê liệt hoàn toàn Chính vì thế cần chútrọng đến vấn đề đảm bảo an toàn thông tin nhằm tránh hiểm họa mất mátthông tin không lường trước được đồng thời tạo thêm sự tin tưởng của kháchhàng và các đối tác

Xác định rõ việc tiêu chuẩn hóa công tác đảm bảo an toàn thông tin làmột trong những nhiệm vụ trọng tâm trong việc ứng dụng công nghệ thông tintrong các cơ quan nhà nước, Nghị định số 64/2007/NĐ-CP ngày 10/04/2007của Chính phủ về ứng dụng công nghệ thông tin trong hoạt động của cơ quannhà nước đã quy định cơ quan nhà nước phải xây dựng nội quy bảo đảm antoàn thông tin có cán bộ phụ trách đảm bảo an toàn thông tin áp dụng, hướngdẫn và kiểm tra định kỳ việc thực hiện các biện pháp bảo đảm cho hệ thốngthông tin trên mạng đáp ứng các tiêu chuẩn, quy chuẩn kỹ thuật về an toànthông tin

Trên thực tế hầu hết các cơ quan, tổ chức, doanh nghiệp đều nhận thức

rõ sự cần thiết và lợi ích của việc chuẩn hóa công tác đảm bảo an toàn thôngtin, tuy nhiên việc triển khai lại rất hạn chế và gặp nhiều vướng mắc do hệthống tiêu chuẩn kỹ thuật quốc gia về an toàn thông tin hiện không đầy đủtrong việc lựa chọn tiêu chuẩn áp dụng Vì vậy đề tài được chọn khi thực hiện

đồ án tốt nghiệp này là “Nghiên cứu vấn đề về phát triển chính sách cho tổ chức và áp dụng đối với Khoa an toàn thông tin”.

Nội dung của đồ án được chia thành 3 chương như sau:

Chương 1: Tổng quan về chính sách an toàn thông tin

Chương này trình bày một cách tổng quan về chính sách an toàn thôngtin, bao gồm khái niệm, đánh giá tình hình an toàn thông tin trên thế giới cũng

như ở Việt Nam hiện nay và nêu rõ được tầm quan trọng của chính sách antoàn thông tin.

Chương 2: Giới thiệu về bộ tiêu chuẩn ISO trong lĩnh vực quản lý an toàn thông tin

Chương này giới thiệu sơ bộ về bộ tiêu chuẩn ISO/IEC 27000, trong đótiêu biểu là tiêu chuẩn ISO/IEC 27001 và ISO/IEC 27002 Nội dung chủ yếu

là tập trung trả lời các câu hỏi: Tiêu chuẩn ISO/IEC là gì? Việc ứng dụng vànội dung của tiêu chuẩn ra sao? Cũng như trình bày về các bước triển khaitiêu chuẩn như thế nào?

Chương 3: Xây dựng chính sách quản lý an toàn thông tin cho Khoa

an toàn thông tin

Nội dung của chương chủ yếu dựa trên nền tảng của các chương trước

để áp dụng những cơ sở lý thuyết đó vào việc chuẩn hóa công tác đảm bảo antoàn thông tin Trong chương này trước hết sẽ thực hiện khảo sát hiện trạngtriển khai An toàn thông tin tại trung tâm thực hành của Khoa an toàn thôngtin và đánh giá những hiểm họa, nguy cơ có thể xảy đến đối với hệ thốngmạng của Khoa an toàn thông tin Từ đó, có thể lựa chọn được các biện phápkiểm soát và đề xuất các chính sách đảm bảo an toàn thông tin cho Khoa

Trong quá trình thực hiện đồ án, các mục tiêu về cơ bản đều đã đạtđược Tuy nhiên, do thời gian thực hiện đồ án có hạn cũng như kiến thức vàkinh nghiệm thực tiễn còn nhiều hạn chế nên chắc chắn vẫn còn nhiều thiếusót, em rất mong được sự đánh giá, góp ý của thầy cô và các bạn học viên để

đồ án này được hoàn thiện hơn

Em xin chân thành cảm ơn!

CHƯƠNG 1: TỔNG QUAN VỀ CHÍNH SÁCH AN TOÀN THÔNG TIN

Với tình trạng mất an toàn thông tin như hiện nay thì việc xây dựngmột chính sách an toàn thông tin cho tổ chức, đơn vị… là rất quan trọng vàcần thiết Tuy nhiên để có được một chính sách an toàn thông tin hiệu quả thìtrước hết phải trả lời được các câu hỏi: An toàn thông tin và chính sách antoàn thông tin là gì ? Tình hình an ninh thông tin hiện nay có xu hướng nhưthế nào ? Cũng như nắm bắt được tầm quan trọng của chính sách an toànthông tin Ở chương này sẽ lần lượt làm rõ các vấn đề để từ đó áp dụng triểnkhai chính sách vào thực tế được tốt hơn

1.1 Khái niệm về an toàn thông tin

Thông tin là tài sản rất quan trọng của mọi tổ chức, cá nhân Thông tin

có thể tồn tại dưới nhiều hình dạng khác nhau như: có thể in ra giấy, lưu trữthành file, chuyển qua email hoặc các phương tiện điện tử khác, chiếu thànhfilm, hoặc được nói ra trong các cuộc họp… Trong môi trường cạnh tranhngày nay, thông tin ngày càng bị đe dọa bởi nhiều nguồn khác nhau như nội

bộ, bên ngoài, tình cờ hoặc có chủ ý… với sự phát triển và ứng dụng côngnghệ ngày nay trong liên lạc, lưu trữ, chuyển đổi thông tin chúng ta lại phảinhận nhiều hơn về số lượng cũng như chủng loại các mối nguy khác nhaungoài các mối nguy truyền thống

An toàn thông tin nghĩa là thông tin được bảo vệ an toàn, được giữnguyên giá trị của nó, các hệ thống và những dịch vụ có khả năng tránh vàngăn chặn, chống lại những tai hoạ, lỗi và sự tác động không mong đợi, cũngnhư có thể phục hồi từ những sự cố đó An toàn thông tin bao gồm nhiều yếu

tố, nhưng nó là một mắt xích liên kết giữa hai yếu tố chính: yếu tố công nghệ

và yếu tố con người

• Yếu tố công nghệ: Bao gồm những sản phẩm như Firewall, phần mềmphòng chống virus, giải pháp mật mã, sản phẩm mạng, hệ điều hành

và những ứng dụng như: trình duyệt Internet và phần mềm nhận Email

từ máy trạm

• Yếu tố con người: Là những người sử dụng máy tính, những ngườilàm việc với thông tin và sử dụng máy tính trong công việc của mình.Hai yếu tố trên được liên kết lại thông qua các chính sách về an toànthông tin

Như vậy, khái niệm an toàn thông tin bao hàm đảm bảo an toàn cho cảphần cứng và phần mềm An toàn phần cứng là bảo đảm hoạt động cho cơ sở

hạ tầng thông tin An toàn phần mềm gồm các hoạt động quản lý, kỹ thuậtnhằm bảo vệ hệ thống thông tin, đảm bảo cho các hệ thống thực hiện đúngchức năng, phục vụ đúng đối tượng một cách sẵn sàng, chính xác, tin cậy Antoàn thông tin phải đảm bảo ba yếu tố: tính bí mật, toàn vẹn và sẵn sàng củacác hệ thống thông tin phục vụ các hoạt động của một tổ chức Ba yếu tố được

Tính bí mật đảm bảo thông tin chỉ cung cấp cho những người có thẩmquyền Như vậy đảm bảo tính bí mật là biện pháp ngăn ngừa các hành vi cố ýhay vô ý xem thông tin không được cấp phép

Tính toàn vẹn - I (Integrity)

Tính toàn vẹn thông tin là thông tin không bị thay đổi, mất mát trongkhi lưu trữ hay truyền tải Nói cách khác tính toàn vẹn là tính không bị hiệuchỉnh của thông tin

Để đảm bảo tính toàn vẹn của thông tin là một loạt các biện pháp đồng

bộ nhằm hỗ trợ và đảm bảo tính thời sự kịp thời và đầy đủ trọn vẹn, cũng như

sự bảo mật hợp lý cho thông tin Đôi khi các điểm yếu rất dễ lợi dụng nhưnglại có thể gây ra các hậu quả rất lớn cho sự toàn vẹn thông tin của một tổ chứcnếu không có các biện pháp bảo vệ đúng đắn

Tính sẵn sàng đảm bảo độ ổn định đáng tin cậy của thông tin, cũng nhưđảm nhiệm chức năng là thước đo xác định phạm vi tới hạn của an toàn một

hệ thống thông tin

1.2 Tình hình an ninh thông tin hiện nay

1.2.1 Tình hình an ninh thông tin trên thế giới

Tình hình an ninh thông tin hiện nay đang phải đối mặt với rất nhiềunguy cơ mất an toàn như nghe lén, gián điệp, tấn công bằng mã độc để khaithác, sửa đổi thông tin, phá hoại hệ thống thông tin… có thể gây ra nhiều hậuquả khác nhau như làm tiết lộ các thông tin cá nhân, lừa đảo, chiếm đoạt bímật công nghệ, gián đoạn dịch vụ… ở các mức độ từ nhỏ lẻ ảnh hưởng đếnđời sống thường ngày đến nghiêm trọng đối với nền kinh tế đất nước, thậmchí ảnh hưởng tới an ninh quốc gia

Những diễn biến trong thời gian vừa qua cho thấy sự gia tăng các nguy

cơ an ninh đối với các hệ thống thông tin Nhiều lỗ hổng bảo mật đã bị lợidụng, mật độ các cuộc tấn công mạng ở quy mô lớn đã ngày càng gia tăng

Nghiêm trọng là các lỗ hổng bảo mật về ATTT gây ảnh hưởng nghiêm trọngđến cộng đồng CNTT:

• Lỗ hổng bảo mật “Heartbleed” hay còn gọi là “Trái tim rỉ máu” là một

lỗ hổng bảo mật cực kỳ nghiêm trọng, gây ảnh hưởng đến hai phần bathiết bị Internet toàn cầu Nó là một lỗ hổng nằm trong phần mềm mãnguồn mở Open SSL, một thư viện phần mềm của Google, Facebook,Yahoo, Amazon và rất nhiều trang web lớn nhất thế giới khác sử dụng

để đảm bảo việc truyền tải thông tin cá nhân của người dùng “Tráitim rỉ máu” cho phép tin tặc tiếp cận vào quá trình trao đổi dữ liệu với

bộ nhớ máy tính cá nhân được xử lý bởi OpenSSL, cho phép chúnglấy ra hàng loạt thông tin mà không gặp phải bất cứ sự cản trở nào.Những thông tin được rút ra là ngẫu nhiên, đôi khi là những thông tin

vô dụng như lịch sinh nhật, lịch họp…

• Lỗ hổng bảo mật Ghost: Trong glibc cho phép tin tặc có thể thực thicác lệnh từ xa nhằm chiếm quyền điều khiển máy chủ Linux Lỗ hổngnày liên quan đến lỗi tràn bộ đệm heap-based và ảnh hưởng đến tất cả

hệ thống Linux, có mặt trong các mã glibc từ năm 2000 Ứng dụngPHP và Wordpress là hai ứng dụng bị ảnh hưởng diện rộng bởi lỗhổng này

• Lỗ hổng bảo mật Shellshock xuất hiện vào tháng 9 cũng rất nguyhiểm Lỗ hổng này nằm trong phần mềm lõi Bash được sử dụng phổbiến trên các hệ thống Unix Shellshock tạo cơ hội cho những kẻ tấncông thực thi các lệnh ở xa trên hệ thống dễ bị tổn thương

• Lỗ hổng Poodle là một lỗ hổng ẩn trong giao thức SSL 3.0, kẻ tấncông có thể bị lợi dụng để ăn cắp cookie của người dung một cách dễdàng, và bằng lợi thế này sau đó có thể tiến hành thêm nhiều cuộc tấncông có chủ đích

• Lỗ hổng Logjam đe doạ người dùng Internet Lỗ hổng này là mối đedọa cho hàng ngàn website sử dụng giao thức HTTPS, các máy chủemail và nhiều dịch vụ khác đang được sử dụng rộng rãi trên Internet,cho phép những kẻ tấn công có thể đọc và chỉnh sửa thông tin cánhân Lỗ hổng Logjam cho phép tin tặc thực hiện một cuộc tấn công

“người đứng giữa” (MitM) để can thiệp vào các kết nối đã được mãhóa giữa người dùng với một dịch vụ web hay email sử dụng khóa

512 bit

• Lỗ hổng từ “Hacking team”: Trong quá trình phân tích dữ liệu bị rò rỉcủa Hacking Team, các nhà nghiên cứu đã phát hiện ra các lỗ hổngliên quan đến phần mềm Adobe Flash Player, hệ điều hành Windows,Internet Explorer Trong đó, các lỗ hổng zero-day của Adobe FlashPlayer được cho là nghiêm trọng nhất: Lỗ hổng CVE-2015-5119 cóthể cho phép tin tặc thực thi mã độc, gây “crash” máy và thực hiệnkiểm soát toàn bộ hệ thống bị ảnh hưởng Lỗ hổng CVE-2015-5122

có thể khiến máy tính bị “crash” và cho phép kẻ tấn công chiếm quyềnđiều khiển của hệ thống Đặc biệt, các lỗ hổng này đều có đoạn mãkhai thác POC thành công gây ảnh hưởng lớn tới cộng đồng mạng

• Phương thức tấn công “Man-In-The-Cloud” (MITC): Dropbox,Google Driver có thể bị tấn công không cần mật khẩu Lỗ hổng bảomật cho phép tin tặc truy cập vào nhiều dịch vụ điện toán đám mây

mà không cần mật khẩu của người dùng Nó khai thác lỗ hổng trongquá trình đồng bộ tập tin, có trong thiết kế của nhiều dịch vụ của cáchãng Google, Box, Microsoft hay Dropbox Các cuộc tấn công MITCkhông dựa vào lỗ hổng trên các ứng dụng đồng bộ, hay lỗ hổng antoàn trong máy chủ lưu trữ đám mây, mà dựa vào một lỗi thiết kế Sau

đó truy cập và lợi dụng các tài khoản đã bị đánh cắp bằng rất nhiềucách khác nhau Từ đó, tin tặc hoàn toàn có thể giả mạo người dùnghợp pháp để quản lý các tệp tin, thậm chí tải lên những phần mềm độchại

Rất nhiều các lỗ hổng bảo mật nghiêm trọng đã được phát hiện, hình thức tấn công luôn thay đổi, để lại hậu quả vô cùng nghiêm trọng cho các quốc gia

Năm 2015 là năm mà tình hình an ninh thông tin trên thế giới diễn ra rất phức tạp, một số phần mềm độc hại và các cuộc tấn công mạng diễn ra vớicác hình thức tấn công khác nhau, chúng luôn thay đổi và có rất nhiều cuộc tấn công đã thành công trong thời gian gần đây

• Mã độc RIG Exploit Kit 3.0 đã lây nhiễm nhanh với tốc độ trung bình

27 nghìn máy tính mỗi ngày, con số lây nhiễm lên tới 1,3 triệu máytính trên toàn cầu kể từ ngày 3/8/2015 Trong đó, có 450 nghìn máy bịlây nhiễm tại Brazil, hơn 45 nghìn tại Mỹ, 10 nghìn tại Anh, 4 nghìntại Canada và tại Việt Nam là trên 302 nghìn máy bị lây nhiễm Tỉ lệ

lây nhiễm cao liên quan đến lỗ hổng Adobe Flash Player, kể cả lỗhổng trong vụ rò rỉ “Hacking Team”.

• Phần mềm độc hại Superfish VisualDiscovery thu thập thông tin từcác truy cập trên máy tính bị cài đặt Superfish (ngay cả khi các luồng

dữ liệu được mã hoá bằng HTTPS) Phần mềm này chèn thông tinquảng cáo vào lưu lượng web của người dùng, thực hiện giả mạoSSL… mà không hiển thị bất kỳ cảnh báo nào về việc lưu lượng web

đã bị giả mạo từ trình duyệt

• Nhóm tin tặc APT17 của Trung Quốc lợi dụng trang Technet củaMicrosoft: Công ty bảo mật FireEye đã phát hiện ra nhóm tin tặcAPT17 của Trung Quốc sử dụng máy chủ điều khiển C&C dưới mộtdanh nghĩa liên quan đến tài nguyên trực tuyến TechNet củaMicrosoft Nhóm tin tặc này đã tạo ra tài khoản giả mạo trên diễn đàncủa Microsoft và gắn thông tin mã hóa C&C sử dụng bởi một biến thểTrojan BlackCoffee truy cập từ xa Các nhà nghiên cứu của RSA giảithích rằng mã độc được đính kèm vào một kết nối đã được mã hóa dẫnđến một trang web về hồ sơ tài khoản TechNet

• Trong tháng 9/2015, tin tặc liên tục tấn công vào các trang mạng và hệthống máy tính đánh cắp nhiều thông tin, dữ liệu quan trọng

• Ngày 01/09 theo báo cáo của IBM, một Trojan ngân hàng mới có tên

là “Shifu” tấn công khoảng 14 ngân hàng Nhật Bản, đánh cắp mậtkhẩu, thu thập thông tin ủy quyền người dùng, đánh cắp chứng chỉriêng tư, đánh cắp token xác thực, trích xuất dữ liệu từ thẻ thông minhcủa người dùng

• Ngày 10/9, nhóm tin tặc Turla APT ở Nga bị phát hiện đã chặn tínhiệu, tấn công các vệ tinh thương mại, thu thập dữ liệu nhạy cảm từcác tổ chức chính phủ, quân sự, ngoại giao, nghiên cứu, giáo dục ởhơn 45 quốc gia, bao gồm cả Trung Quốc

• Ngày 17/9, các nhà nghiên cứu của F-secure đã phát hiện tổ chức tựxưng “Dukes” hoạt động ít nhất từ năm 2008 và được cho là có sự hậuthuẫn của Chính phủ Nga, đã thực hiện các cuộc tấn công rộng khắptrên mạng nhắm vào các chính phủ phương Tây và các tổ chức liênquan như các bộ và cơ quan Chính phủ, cố vấn chính trị, các nhà thầuphụ của Chính phủ

• Ngày 19/10/2015, mẫu phần mềm quảng cáo độc hại eFast Browser

thế trình duyệt Google Chrome để theo dõi, đánh cắp thông tin ngườidùng EFast Browser được xây dựng trên nền tảng mã nguồn mởChromium nên có giao diện giống như trình duyệt Google Chrome,người dùng khó có thể phân biệt bằng mắt thường Khi truy cậpInternet, người dùng nên gỡ bỏ những phần mềm đáng ngờ và cânnhắc khi nhấp chuột vào các kết nối.

Có thể thấy, các cuộc tấn công mạng với quy mô và mức độ lớn, Xu hướng tấn công lừa đảo kết hợp sử dụng các loại mã độc hại gia tăng, có mức

độ nguy hiểm cao, ảnh hưởng đến nhiều tổ chức và cá nhân Nhưng bên cạnh

đó cũng diễn ra một số sự kiện đáng chú ý như sau:

• Hội nghị thường niên “RusCrypto” đã được tổ chức từ ngày 17 đến20/3/2015 tại Moscow, Nga Hội nghị là diễn đàn giúp các chuyên giatrong lĩnh vực mật mã và ATTT trao đổi các hướng nghiên cứu vàgiới thiệu các công nghệ mới

• Hội nghị bảo mật Blackhat Asian 2015 đã diễn ra từ ngày 24 đến27/3/2015, tại Singapore BlackHat Briefings là một chuỗi hội nghị vềATTT có tính chuyên môn cao được tổ chức tại nhiều quốc gia trênthế giới (Singapore, Mỹ, Hà Lan…), với sự tham gia của các chuyêngia và một số lãnh đạo tập đoàn về ATTT lớn trên thế giới

• Hội thảo Hack in the box security và Hack Miami diễn ra vào tháng5/2015 đã thu hút các đối tượng tham dự là các nhà nghiên cứu về giảipháp bảo mật, kiểm thử xâm nhập Nội dung Hội thảo đề cập tới vấn

đề về an toàn thông tin, khai thác các lỗ hổng, nghiên cứu mã độc…

và chia sẻ các cơ hội làm việc trong lĩnh vực An toàn thông tin

1.2.2 Tình hình an ninh thông tin tại Việt Nam

Cũng trong dòng chảy chung của thế giới, an toàn thông tin ở nước ta trong thời gian gần đây ngày càng có ảnh hưởng sâu rộng đến mọi mặt đời sống xã hội

Ở nước ta, công nghệ thông tin cũng như Internet đang phát triển với mức độ chóng mặt Số lượng các thiết bị viễn thông di động trên mỗi cá nhân ngày càng gia tăng Đặc biệt sự xuất hiện của các điện thoại thông minh smartphone cũng dẫn tới sự bùng nổ số lượng các ứng dụng trên điện thoại di động Tuy nhiên đi liền với sự phát triển, những tiện lợi mà công nghệ thông tin và Internet mang lại thì còn tồn tại rất nhiều vấn đề, đó là các vụ tấn công

mạng ngày một gia tăng Hơn nữa môi trường Việt Nam hiện có nhiều yếu tố gây mất an toàn như thiếu sự giám sát giữa các tổ chức quản lý Internet, thiếu nhân lực về an toàn thông tin, người dùng chưa đề cao cảnh giác…Những điều này dẫn tới sự bùng nổ của các hành vi như lấy cắp tài khoản, viết và phát tán virus máy tính, tấn công website… mang lại nhiều nguy cơ tiềm tàng cho an ninh mạng Cụ thể như sau:

• Nghiên cứu mới nhất của Công ty An ninh mạng Bkav Security- thànhviên của Tập đoàn công nghệ Bkav cho thấy nửa đầu năm 2015, trungbình mỗi tháng xuất hiện hơn 1.000 trang giả mạo Facebook nhằm lấycắp thông tin tài khoản, lừa tiền người dùng Và 13,9 triệu tin nhắn rácđược phát tán mỗi ngày, 30% website ngân hàng tồn tại lỗ hổng…

• Ngoài ra, hình thức lừa nạp thẻ điện thoại "ông chú Viettel" cũng cóthêm biến tướng mới Bằng việc tạo các website giả mạo trang nạp thẻ

để tăng lòng tin từ phía người dùng, kẻ xấu đã "móc túi" nhiều nạnnhân với số tiền lên tới vài triệu đồng Trung bình mỗi tháng có 200website giả mạo nạp thẻ như vậy được kẻ xấu dựng lên

• Ngày 23/02/2015, trang Web tìm kiếm số 1 thế giới Google, cụ thể làGoogle Việt Nam xuất hiện thông báo đã bị tấn công bởi nhóm hackerLizard Squad.edu.vn

• Ngày 14/5/2015, Phòng Cảnh sát Phòng chống tội phạm sử dụng côngnghệ cao (PC50) Công an Hà Nội đã tạm giữ ba đối tượng về hành vi

sử dụng mạng máy tính, mạng viễn thông, mạng Internet và các thiết

bị số để lấy cắp thông tin tài khoản thẻ tín dụng của khách hàng

• Ngày 11/10/2015, tin tặc đã tấn công làm thay đổi giao diện và đượccho là xóa toàn bộ dữ liệu trong bộ nhớ tạm thời của website Sở Giáodục và Đào tạo Đà Nẵng

• Trong 6 tháng đầu năm đã có 23.605 dòng virus máy tính mới xuấthiện tại Việt Nam Các virus này đã lây nhiễm trên 30.936.000 lượtmáy tính Virus lây nhiều nhất nửa đầu năm 2015 là W32.Sality.PE,

đã lây nhiễm trên 2.676.000 lượt máy tính

• Cũng trong 2 quý đầu năm, 2.790 website của các cơ quan, doanhnghiệp tại Việt Nam bị hacker xâm nhập, trong đó có 34 site gov.vn

và 122 site.edu.vn

Bên cạnh các cuộc tấn công, các phần mềm độc hại, năm 2015 tình hình ATTT tại Việt Nam cũng diễn ra một số sự kiện tiêu biểu như sau :

• Hội thảo – Triển lãm Quốc gia về An ninh Bảo mật 2015 (SecurityWorld 2015) diễn ra ngày 25/3/2015 tại Hà Nội với chủ đề “Tăngcường Bảo mật & An toàn thông tin trong Môi trường rủi ro hiệnnay”.

• VNISA triển khai áp dụng Bộ quy tắc đạo đức nghề nghiệp ATTT từđầu năm 2015, đã có 11 đơn vị, doanh nghiệp đã ký cam kết tuân thủ

Bộ quy tắc đạo đức nghề nghiệp ATTT

• Hội thảo Tetcon 2015 đã diễn ra ngày 06/01/2015, tại TP Hồ ChíMinh, với sự tham gia của nhiều chuyên gia bảo mật trong và ngoàinước, mở đầu cho chuỗi sự kiện ATTT tại Việt Nam năm 2015

• Ngày 17/4/2015 Việt Nam tham dự Hội nghị toàn cầu về không gianmạng

• Ngày 20/5/2015 Việt Nam tham gia diễn tập an ninh mạng ASEAN –Nhật Bản

• Hội thảo về “Giám sát An toàn thông tin trên mạng CNTT của các cơquan nhà nước” đã diễn ra ngày 22/4/2015, tại Hà Nội, do Ban Cơ yếuChính phủ tổ chức…

Có thể thấy tình hình an ninh trong nước đang có dấu hiệu đi lên chứkhông hề giảm Hơn nữa khi mà an toàn mạng tại các cơ quan doanh nghiệpvẫn chưa được quan tâm đúng mức sẽ tạo môi trường thuận lợi cho tin tặc tấncông Mặc dù các doanh nghiệp đang dần nhận ra tầm quan trọng của việcđảm bảo an toàn thông tin, tuy nhiên họ gặp nhiều vấn đề khó khăn khi đặt ravấn đề về quy mô và các loại hình chính sách an toàn thông tin Đối với mộtdoanh nghiệp lớn hay một tổ chức, tự phát triển một tài liệu về chính sách antoàn thông tin để phù hợp với mọi người dùng trong một môi trường và có thểgiải quyết mọi vấn đề an toàn thông tin cần thiết dường như là bất khả thi.Một cách đơn giản hơn để giải quyết vấn đề này là phát triển một bộ tài liệu

về chính sách để có thể bao trùm tất cả lĩnh vực an toàn thông tin, chúng cóthể dùng cho các đối tượng cụ thể, đảm bảo hiệu quả cho tất cả mọi người

1.3 Khái quát về chính sách an toàn thông tin

1.3.1 Khái niệm chính sách an toàn thông tin

Chính sách an toàn (theo “Sách da cam” năm 1983) là tập hợp các điềuluật, các quy định và các giải pháp thực tế để giám sát sự điều khiển, sự bảo

vệ và việc phân phối các thông tin nhạy cảm trong hệ thống

Chính sách an toàn thông tin (Information security policy) nhằm cungcấp định hướng quản lý và hỗ trợ đảm bảo an toàn thông tin thỏa mãn với cácyêu cầu trong hoạt động nghiệp vụ, môi trường pháp lý và các quy định phảituân thủ.

Vấn đề quản lý các chính sách định hướng rõ ràng và chứng tỏ khảnăng hỗ trợ các cam kết về an toàn thông tin thông qua việc đưa ra và duy trìcác chính sách về an toàn thông tin đối với một tổ chức

Hiện nay, hệ thống thông tin là thành phần thiết yếu trong mọi cơ quan,

tổ chức, nó đem lại khả năng xử lý thông tin, nhưng hệ thống thông tin cũngchứa rất nhiều điểm yếu Do máy tính được phát triển với tốc độ rất nhanh đểđáp ứng nhiều yêu cầu của người dùng, các phiên bản được phát hành liên tụcvới các tính năng mới được thêm vào ngày càng nhiều, điều này làm cho cácphần mềm không được kiểm tra kỹ trước khi phát hành và bên trong chúngchứa rất nhiều lỗ hổng có thể dễ dàng bị lợi dụng Thêm vào đó là việc pháttriển của hệ thống mạng, cũng như sự phân tán của hệ thống thông tin, làmcho người dùng truy cập thông tin dễ dàng hơn và tin tặc cũng có nhiều mụctiêu tấn công dễ dàng hơn

Một chính sách cần có sự cam kết quản lý, hỗ trợ các thủ tục, mộtkhuôn khổ kỹ thuật phù hợp mà trong đó nó có thể được thực hiện, một mức

độ phù hợp của người có thẩm quyền, một phương tiện mà tuân thủ có thểđược kiểm tra và đồng ý về mặt pháp lý phản ứng trong trường hợp nó bị xâmphạm

Chính sách phù hợp là cơ sở để bảo mật thông tin tốt Vai trò của chúng

là cung cấp các trọng tâm chỉ đạo và hành động như các yếu tố liên kết tất cảcác khía cạnh của thông tin quản lý an ninh

1.3.2 Tầm quan trọng của chính sách an toàn thông tin

Song song với việc xây dựng hệ thống thông tin hiện đại, đáp ứng nhucầu của các cơ quan, tổ chức thì cần phải bảo vệ hệ thống thông tin, đảm bảocho hệ thống đó hoạt động ổn định và tin cậy An toàn và bảo mật thông tin làthiết yếu trong mọi cơ quan, tổ chức

Vấn đề đặt ra là chính sách an ninh cần phải có những mục đích gì ? Cóvai trò như thế nào?… Một chính sách an toàn thông tin cần thực hiện nhiềumục đích như sau:

• Bảo vệ thông tin và đối tượng sử dụng

• Thiết lập các quy tắc về các hành vi của người dùng, quản trị hệthống, quản lý, và nhân viên an ninh.

• Cho phép nhân viên an ninh có thể giám sát, thăm dò, điều tra

• Xác định và áp dụng biện pháp khắc phục những hậu quả của hành vi

vi phạm quy định

• Xác định lập trường nhất quán của công ty về an ninh

• Giúp giảm thiểu rủi ro

• Giúp kiểm soát việc tuân thủ các quy định

Chính sách an toàn thông tin là cội nguồn của tất cả các chỉ thị, cácchuẩn, các thủ tục, các hướng dẫn và các tài liệu hỗ trợ khác Bởi vì với bất

kỳ cơ sở hạ tầng nào thì điều quan trọng là phải thiết lập một nền tảng vữngchắc Một chính sách thực hiện hai vai trò: Đối nội và đối ngoại

Phần đối nội chỉ ra cho nhân viên biết cái gì được mong đợi từ họ vànhững hành động của họ sẽ được đánh giá như thế nào Phần đối ngoại chỉ racho thế giới biết doanh nghiệp được điều hành như thế nào, có chính sách hỗtrợ các hoạt động kinh doanh hay không và cho thấy tổ chức đó có hiểu đượcviệc bảo vệ tài sản quan trọng là để thực hiện thành công sứ mệnh của mình

Chính sách thể hiện chương trình bảo đảm an toàn thông tin của chúng

ta được thực hiện như thế nào, mục tiêu, nhiệm vụ của nó, và trách nhiệm củamỗi người trong tổ chức

Trong bất kỳ cuộc thảo luận về các yêu cầu bằng văn bản, thuật ngữ

“chính sách” có nhiều hơn một nghĩa Đối với một số người, chính sách là sựchỉ đạo của nhà quản lý cấp cao Tất nhiên là trong một chương trình đangchạy như thế nào, mục tiêu và đối tượng của nó là gì và ai là người được giaotrách nhiệm Thuật ngữ “chính sách” có thể tham khảo các quy tắc an toàn cụthể đối với một hệ thống cụ thể, như tập luật ACF2, các giấy phép RACF,hoặc các chính sách hệ thống phát hiện xâm nhập Ngoài ra, các chính sáchcòn có thể tham chiếu đến các vấn đề hoàn toàn khác như các quyết định quản

lý cụ thể mà thiết lập chính sách bảo mật thư điện tử của tổ chức hoặc chínhsách sử dụng Internet

Việc phát triển chính sách an toàn thông tin không đơn thuần là vấn đề

kỹ thuật hay trách nhiệm kiểm tra, cũng không phải là chỉ đơn thuần một lĩnhvực nào đó mà nó phải xuyên suốt tất cả các chính sách của tổ chức

Chính sách cung cấp cho toàn bộ tổ chức một sự quản trị rõ ràng, xúctích, sự quản lý nội bộ có thể mang lại lợi ích thực sự về tính hiệu quả cũngnhư một cách để giảm rủi ro thông tin Một chính sách an toàn thông tin rõràng có thể:

• Giảm sự nhập nhằng

• Cung cấp hướng chỉ đạo và cam kết quản lý rõ ràng

• Thiết lập trách nhiệm và vai trò đã được thỏa thuận

Chính sách an toàn thông tin có thể đảm bảo giảm thiểu các rủi ro vàbất kỳ sự cố an ninh nào cũng có thể đáp ứng kịp thời Chính sách an toànthông tin xác định thông tin, thông báo trong nội bộ và bên ngoài là một tàisản, tài sản của tổ chức, và đang được bảo vệ khỏi những truy cập trái phép,sửa đổi, tiết lộ

Cùng với tình hình an ninh thông tin đang phức tạp như hiện nay thìcác cơ quan, tổ chức cần có một chính sách bảo mật thống nhất Có nhiềucách thức và quan điểm để thiết lập một hệ thống an toàn thông tin Một trongcác biện pháp phòng ngừa được nhắc đến trong thời gian qua chính là triểnkhai áp dụng Hệ thống Quản lý An toàn Thông tin theo các nguyên tắc của bộtiêu chuẩn quốc tế ISO/IEC 27000

CHƯƠNG 2: GIỚI THIỆU VỀ BỘ TIÊU CHUẨN ISO TRONG LĨNH

VỰC QUẢN LÝ AN TOÀN THÔNG TIN

Việc xây dựng một hệ thống bảo đảm an toàn thông tin không chỉ đơngiản gói gọn vào trách nhiệm của bộ phận CNTT, hệ thống mạng với một sốgiải pháp thuần túy kỹ thuật Một hệ thống thông tin an toàn đúng nghĩa phảigắn kết và tích hợp chặt chẽ với hoạt động của toàn tổ chức trong đó conngười đóng vai trò quan trọng Đứng trước tình hình mất an toàn thông tinnhư hiện nay thì biện pháp phòng ngừa rủi ro mất an toàn thông tin là triểnkhai áp dụng Hệ thống Quản lý An toàn Thông tin (ISMS: InformationSecurity Management System) theo các nguyên tắc của bộ tiêu chuẩn quốc tếISO/IEC 27000 Có thể nói rằng, ISO/IEC 27000 là một phần của hệ thốngquản lý chung trong tổ chức, được thực hiện dựa trên nguyên tắc tiếp cận cácrủi ro trong hoạt động, để thiết lập, áp dụng, thực hiện, theo dõi, soát xét, duytrì và cải tiến đảm bảo an toàn thông tin của tổ chức

2.1 Giới thiệu chung

Ngày nay, càng có nhiều các tổ chức, đơn vị, doanh nghiệp hoạt động

lệ thuộc gần như hoàn toàn vào hệ thống mạng máy tính và cơ sở dữ liệu Nóicách khác, khi hệ thống công nghệ thông tin hoặc cơ sở dữ liệu gặp các sự cốthì hoạt động của các đơn vị này bị ảnh hưởng nghiêm trọng và thậm chí cóthể bị tê liệt hoàn toàn Chính vì vậy, Hệ thống Quản lý An toàn thông tinđang được quan tâm và áp dụng phổ biến, rộng rãi

Hệ thống Quản lý An toàn thông tin (Information Security ManagementSystem - ISMS) là một phần của hệ thống quản lý toàn diện, dựa trên các rủi

ro có thể xuất hiện trong hoạt động của tổ chức để thiết lập, triển khai, điềuhành, giám sát, soát xét, duy trì và cải tiến an toàn thông tin

Hệ thống Quản lý An toàn thông tin (ISMS) cũng có thể hiểu là một bộ quiđịnh (như chính sách, qui trình, hướng dẫn, quản lý rủi ro, đánh giá, khắcphục…) được thực hiện trong một tổ chức có thể là doanh nghiệp hoặc mộttrường học cụ thể nào đó để đảm bảo hệ thống thông tin của tổ chức đó được

an toàn và phù hợp với những yêu cầu trong bộ tiêu chuẩn ISO/IEC 27000

ISO/IEC 27000 có nguồn gốc từ Anh quốc Bắt đầu vào năm 1992,Phòng Thương mại và Công nghiệp Anh (UK Department Trade andIndustrial) ban hành ra qui phạm thực hành về hệ thống an toàn thông tin dựatrên các hệ thống đảm bảo an toàn thông tin nội bộ của các công ty dầu khí

Tài liệu này sau đó được Viện tiêu chuẩn hoá Anh chính thức ban hành thànhtiêu chuẩn quốc gia với mã hiệu BS 7799-1 vào năm 1995 Năm 2000, tiêuchuẩn này được Tổ chức Tiêu chuẩn hoá Quốc tế (ISO) chính thức chấp nhận

và ban hành với mã hiệu ISO/IEC 17799: 2000 – tiền thân của bộ tiêu chuẩnISO/IEC 27000 ngày nay

ISO (the International Organation for Standardization - Tổ chức tiêuchuẩn quốc tế) và IEC (the International Electrotechnical Commission - Hộiđồng kỹ thuật quốc tế) là tổ chức thiết lập các hệ thống tiêu chuẩn trên toàncầu Các quốc gia là các thành viên của ISO và IEC tham gia vào sự phát triểnchung của các chuẩn quốc tế thông qua các ủy ban được thiết lập bởi các tổchức tương ứng nhằm giải quyết các lĩnh vực cụ thể về kỹ thuật ISO và IECphối hợp trong các lĩnh vực liên quan đến lợi ích của nhau Có thể nói rằng,ISO/IEC 27000 là một phần của hệ thống quản lý chung trong tổ chức, đượcthực hiện dựa trên nguyên tắc tiếp cận các rủi ro trong hoạt động, để thiết lập,

áp dụng, thực hiện, theo dõi, xem xét, duy trì và cải tiến đảm bảo an toànthông tin của tổ chức

ISO/IEC 27000 phù hợp với mọi tổ chức lớn nhỏ và áp dụng được vớimọi lĩnh vực kinh tế trên toàn thế giới Tiêu chuẩn ISO/IEC 27000 cũng đặt racác yêu cầu cho một Hệ thống Quản lý an toàn thông tin (ISMS)

Bộ tiêu chuẩn ISO/IEC 27000 có thể áp dụng được cho mọi loại hình tổchức có nhu cầu bảo vệ thông tin Việc triển khai Hệ thống ISMS theo bộ tiêuchuẩn ISO/IEC 27000 sẽ giúp tổ chức đạt được các lợi ích sau:

• Giúp nhận biết, đánh giá được các rủi ro, xây dựng các biện pháp và tạo ýthức và trách nhiệm của nhân viên trong việc bảo vệ thông tin của tổ chức

• Thể hiện trách nhiệm của tổ chức trong việc quản lý hệ thống thông tin, biểuhiện bảo mật thông tin trên mọi mức độ của tổ chức

• Thể hiện tính tuân thủ luật pháp và quy tắc trong lĩnh vực quản lý thông tin

• Quản lý rủi ro, dẫn đến hiểu biết tốt hơn về hệ thống an toàn thông tin, điểmyếu của chúng và cách bảo vệ chúng

• Các đối tác, cổ đông và khách hàng yên tâm khi họ thấy được sự quan trọngtrong bảo vệ thông tin của tổ chức

• Xác định các thông tin quan trọng, các rủi ro có thể để giảm thiểu các rủi ro

đó, xác định các mức chi phí bảo hiểm tốt nhất cho các rủi ro

• Phát triển nhận thức của nhân viên trong an toàn và trách nhiệm của họ đốivới tổ chức

Cho tới nay, việc áp dụng Hệ thống Quản lý an toàn thông tin (ISMS)phù hợp với ISO/IEC 27000 đã được triển khai rộng khắp ở hầu hết các quốcgia trên thế giới đặc biệt là trong lĩnh vực tài chính ngân hàng Theo con sốthống kê chưa đầy đủ thì hiện nay số lượng các tổ chức đã áp dụng ISMS và

đã được chứng nhận trên toàn thế giới là 2063 Trong đó đứng đầu là NhậtBản với số chứng chỉ được cấp ra là 1190, sau đó là Anh 219, Đài loan 69…

Các lĩnh vực áp dụng đối với ISMS cũng chiếm các tỉ lệ khác nhau Ví

dụ lĩnh vực viễn thông được áp dụng nhiều nhất với 27% tổng số lượng chứngchỉ cấp ra, Lĩnh vực tài chính ngân hàng chiếm 20%, Lĩnh vực công nghệthông tin chiếm 15%…

Hy vọng trong thời gian tới tại Việt Nam sẽ có thêm nhiều hơn nữa các

tổ chức áp dụng ISMS để có thể giảm thiểu các rủi ro liên quan tới an toànthông tin, đảm bảo cho sự phát triển bền vững

2.2 Các tiêu chuẩn của bộ tiêu chuẩn ISO/IEC 27000

Bộ tiêu chuẩn ISO/IEC 27000 cung cấp một mô hình trong việc thiếtlập và vận hành một hệ thống quản lý Khi sử dụng ISO/IEC 27000 thì các tổchức có thể phát triển và thực hiện một khung cho quản lý an toàn các tài sảnthông tin của họ và chuẩn bị cho việc đánh giá độc lập được họ áp dụng đểbảo vệ thông tin Bộ tiêu chuẩn ISO/IEC 27000 cung cấp một cái nhìn tổngquan về hệ thống quản lý an toàn thông tin (ISMS), sự hình thành các chuẩntrong bộ tiêu chuẩn này, các thuật ngữ và định nghĩa có liên quan khác Bộtiêu chuẩn ISO/IEC 27000 bao gồm những chuẩn sau:

Hình 2.2: Cấu trúc bộ tiêu chuẩn ISO/IEC 27000.

Bộ tiêu chuẩn ISO/IEC 27000 hiện tại bao gồm những tiêu chuẩn cụ thểsau:

• ISO/IEC 27000: 2009: Tổng quan, từ vựng và định nghĩa (thuật ngữ)của hệ thống quản lý an toàn thông tin (ISMS)

• ISO/IEC 27001: 2005: Xác định các yêu cầu đối với hệ thống quản lý

an toàn thông tin (ISMS)

• ISO/IEC 27002: 2005: Xác định các quy tắc thực hành cho quản lý antoàn thông tin

• ISO/IEC 27003: Đưa ra các hướng dẫn áp dụng cho hệ thống an toànthông tin (ISMS)

• ISO/IEC 27004: Đưa ra các tiêu chuẩn về đo lường và định lượng hệthống quản lý an toàn thông tin để giúp cho việc đo lường hiệu quả của việc

Tại Việt Nam cũng đã ban hành 2 tiêu chuẩn TCVN ISO/IEC 27001 vàTCVN ISO/IEC 27002, trong đó 2 tiêu chuẩn này được xây dựng theophương pháp chấp thuận nguyên vẹn về nội dung của các tiêu chuẩn tươngđương của bộ ISO/IEC 27000 Tiêu chuẩn quốc tế ISO/IEC 27001, cung cấp

mô hình chuẩn để thiết lập, triển khai, vận hành, theo dõi, đánh giá, duy trì,cải tiến hệ thống quản lý an ninh thông tin Còn tiêu chuẩn ISO/IEC 27002 làmột hệ thống các biện pháp, các khuyến cáo để đảm bảo cho an toàn thôngtin, đảm bảo cho các yêu cầu đặt ra trong ISO/IEC 27001 được thực hiện

2.3 Tiêu chuẩn ISO/IEC 27001: 2005

2.3.1 Giới thiệu chung

ISO/IEC 27001: 2005 là một tiêu chuẩn trong bộ tiêu chuẩn ISO/IEC

27000 về quản lý an toàn thông tin Bộ tiêu chuẩn này được phát triển dựa

trên bộ tiêu chuẩn BS7799 của Viện tiêu chuẩn Anh quốc (British StandardsInstitution BSI) Tháng 12 năm 2000, chuẩn An toàn thông tin quốc tế ISObao gồm BS 7799 (đặc tả kỹ thuật cho hệ thống ISMS) và ISO/IEC 17799(mô tả Qui tắc thực tế cho hệ thống quản lý an toàn thông tin)

Tháng 9 năm 2002, soát xét phần 2 của chuẩn BS7799 được thực hiệnnhằm thống nhất với các chuẩn quản lý khác như ISO/IEC 9001: 2000 và ISO14001: 1996 cũng như với các nguyên tắc chính của Tổ chức Hợp tác và pháttriển kinh tế (OECD) Tháng 10 năm 2005 ISO phát triển ISO/IEC 17799 vàBS7799 thành ISO/IEC 27001: 2005, tập trung vào công tác đánh giá vàchứng nhận

ISO/IEC 27001 thay thế cho BS7799-2: 2002, nó định nghĩa hệ thốngquản lý an toàn thông tin (ISMS), hướng đến cung cấp một mô hình cho việcthiết lập, thi hành, kiểm soát, duy trì và cải tiến ISMS

ISO/IEC 27001 là tiêu chuẩn quy định các yêu cầu đối với việc xâydựng và áp dụng Hệ thống Quản lý an toàn thông tin (Information SecurityManagement System - ISMS) nhằm đảm bảo tính bí mật (confidentiality),tính toàn vẹn (integrity) và tính sẵn sàng (availability) đối với tài sản thông tincủa các tổ chức/doanh nghiệp

Tiêu chuẩn về quản lý an toàn thông tin ISO/IEC 27001 (InformationSecurity Management System) ngày nay trở thành một tiêu chuẩn được quantâm hàng đầu hiện nay Các tổ chức rất quan tâm đến việc áp dụng ISO/IEC

27001 trong việc quản lý để đảm bảo các tính chất bí mật, toàn vẹn, sẵn sàngcho tài sản thông tin của tổ chức cũng như của nhà đầu tư, khách hàng, nhàcung cấp… Tài sản thông tin theo khuyến nghị của ISO/IEC 27001 cần đượcquản lý bao gồm:

• Thông tin: cơ sở dữ liệu, tài liệu hệ thống, file hướng dẫn sử dụng

• Phần mềm: ứng dụng, công cụ quản lý, công cụ phát triển

• Phần cứng: máy tính, thiết bị mạng, thiết bị lưu trữ

• Dịch vụ: dịch vụ internet, điện

• Con người: nhân viên, đối tác

• Hình ảnh công ty

Tiêu chuẩn này cũng giúp các tổ chức và doanh nghiệp bao quát toàn

bộ hoạt động của mình và chú ý tới các lĩnh vực mà cần được lưu trữ dữ liệu,

kể cả tài liệu đó được lưu ở bất cứ định dạng nào Giúp đảm bảo tính sẵn sàng

và tin cậy của phần cứng và các cơ sở dữ liệu bảo mật thông tin, tạo niềm tincho đối tác, khách hàng giảm giá thành các chi phí bảo hiểm đồng thời cũngnâng cao nhận thức và trách nhiệm của nhân viên về an ninh thông tin.

Tiêu chuẩn ISO/IEC 27001 có thể dùng cho tất cả các tổ chức thuộcmọi loại hình và quy mô

2.3.2 Lợi ích và tình hình ứng dụng của tiêu chuẩn ISO/IEC 27001

Thông tin là tài sản quan trọng, đóng vai trò quyết định sự thành bạicủa một cơ quan, một tổ chức, một doanh nghiệp Các thông tin nhạy cảmluôn cần được bảo vệ chặt chẽ trước những đe dọa ở tầm rộng Áp dụng cáctiêu chuẩn đảm bảo an toàn thông tin cho các cơ quan, tổ chức và doanhnghiệp là biện pháp rất cần thiết để bảo vệ các tài sản thông tin của mình đồngthời tạo thêm sự tin tưởng của khách hàng và các đối tác Việc áp dụngISO/IEC 27001 trong tổ chức sẽ giúp đem lại những cơ cấu và biện phápkiểm soát giúp cải thiện an ninh thông tin của tổ chức một cách hiệu quả nhất

Tiêu chuẩn ISO/IEC 27001: 2005 đã được đưa vào sử dụng rộng rãitrên thế giới nhiều năm, nội dung tiêu chuẩn đã được sửa đổi nhiều lần đểhoàn thiện và đáp ứng được nhiều loại mô hình tổ chức hơn Dưới đây là một

số lợi ích cho các cơ quan và tổ chức khi áp dụng tiêu chuẩn ISO/IEC 27001

• Cho phép các cơ quan, tổ chức xác định được đúng mục tiêu, phạm vi

và vai trò của hệ thống quản lý an toàn thông tin

• Xây dựng một giải pháp tổng thể đảm bảo an toàn cho hệ thống thôngtin, tránh ảnh hưởng tới các hoạt động khác

• Giảm thiểu các rủi ro và có biện pháp chủ động phòng chống các nguy

cơ có thể xảy ra

• Đảm bảo hiệu quả đầu tư của hệ thống CNTT nói chung và hệ thốngISMS nói riêng

• Nâng cao uy tín và sự tin cậy đối với đối tác và khách hàng, nâng caonăng lực cạnh tranh của các doanh nghiệp

• Nâng cao nhận thức an toàn thông tin cho toàn bộ nhân viên trong tổchức

Tiêu chuẩn ISO/IEC 27001 được coi như là một hướng dẫn thực tế đểphát triển các tiêu chuẩn an toàn tổ chức và thực hành quản lý an toàn hiệuquả, giúp xây dựng sự tự tin trong các hoạt động liên tổ chức

Hiện nay, một số công ty tin học - viễn thông, và ngân hàng Việt Namđang từng bước tham gia mạng lưới cung cấp dịch vụ quốc tế.

Nghiên cứu và áp dụng chuẩn ISO/IEC 27001 có thể là một trongnhững cách tạo thêm lợi thế cạnh tranh (hoặc chí ít cũng để không thua kém)các đối thủ quốc tế Nếu một công ty đa quốc gia muốn đặt trung tâm dịch vụkhách hàng tại Việt Nam, tất nhiên họ sẽ quan tâm đến việc đối tác Việt Namđảm bảo an ninh, bao gồm cả các kế hoạch dự phòng trong trường hợp khẩncấp như thế nào Nếu đối tác Việt Nam mà có hệ thống thông tin được xâydựng theo chuẩn ISO/IEC 27001 thì chắc chắn sẽ rất ấn tượng

2.3.3 Nội dung của tiêu chuẩn ISO/IEC 27001

2.3.3.1 Phạm vi áp dụng

Tiêu chuẩn ISO/IEC 27001: 2005 có thể được áp dụng rộng rãi chonhiều loại hình tổ chức (các tổ chức thương mại, cơ quan nhà nước, các tổchức phi lợi nhuận…) Đặc biệt là các tổ chức mà các hoạt động phụ thuộcnhiều vào công nghệ thông tin, máy tính, mạng máy tính, sử dụng cơ sở dữliệu như: ngân hàng, tài chính, viễn thông…

Một số các doanh nghiệp lớn như ngân hàng, bảo hiểm, quỹ đầu tư,công ty CNTT…cũng áp dụng ISO/IEC 27001 vào việc đảm bảo an toànthông tin của hệ thống Tiêu chuẩn xác định rõ yêu cầu cho từng quá trình:thiết lập triển khai, điều hành giám sát duy trì và cải tiến một Hệ thốngQuản lý an toàn thông tin (ISMS) để bảo vệ hệ thống thông tin và chủ độngchuẩn bị các phương án xử lý trước những rủi ro có thể xảy ra Tiêu chuẩnnày chỉ rõ các yêu cầu khi thực hiện các mục tiêu và biện pháp quản lý đãđược chọn lọc phù hợp cho tổ chức hoặc các bộ phận

Hệ thống ISMS được thiết kế các biện pháp đảm bảo an toàn thông tinphù hợp và đầy đủ để bảo vệ các tài sản thông tin và đem lại sự tin tưởng củacác bên liên quan như đối tác, khách hàng,… của tổ chức

ISO/IEC 27001 là một phần của hệ thống quản lý chung của các tổchức, doanh nghiệp Do vậy có thể xây dựng độc lập hoặc kết hợp với các hệthống quản lý khác như ISO/IEC 9000, ISO/IEC 14000

An toàn thông tin (information security)

Sự duy trì tính bí mật, tính toàn vẹn và tính sẵn sàng của thông tin.ngoài ra còn có thể bao hàm một số tính chất khác như xác thực, kiểm soátđược, không từ chối và tin cậy

Sự kiện an toàn thông tin (information security event)

Một sự kiện đã được xác định trong một hệ thống, dịch vụ hay trạngthái mạng chỉ ra khả năng vi phạm chính sách an toàn thông tin, sự thất bạicủa hệ thống bảo vệ, hoặc một vấn đề chưa biết gây ảnh hưởng đến an toànthông tin

Sự cố an toàn thông tin (information security incident)

Một hoặc một chuỗi các sự kiện an toàn thông tin không mong muốn,

có khả năng làm tổn hại các hoạt động của cơ quan tổ chức và đe dọa an toànthông tin

Hệ thống quản lý an toàn thông tin (ISMS - Information security management system)

Hệ thống quản lý an toàn thông tin là một phần của hệ thống quản lýtoàn diện, dựa trên các rủi ro có thể xuất hiện trong hoạt động của tổ chức đểthiết lập, triển khai, điều hành, giám sát, soát xét, duy trì và cải tiến an toànthông tin

Chú thích: Hệ thống quản lý an toàn thông tin bao gồm cơ cấu, chính

sách, kế hoạch hoạt động, trách nhiệm, quy định, thủ tục, quy định và tàinguyên của tổ chức

Tính toàn vẹn (integry)

Tính chất đảm bảo sự chính xác và đầy đủ của các tài sản

Rủi ro tồn đọng (residua risk)

Rủi ro còn lại sau quá trình xử lý rủi ro

Chấp nhận rủi ro (risk acceptance)

Quyết định chấp nhận rủi ro

Phân tích rủi ro (risk analysis)

Sử dụng thông tin một cách có hệ thống nhằm xác định các nguồn gốc

và ước đoán rủi ro

Đánh giá rủi ro (risk assessment)

Quá trình tổng thể gồm phân tích rủi ro và ước lượng rủi ro

Ước lượng rủi ro (risk evaluation)

Quá trình so sánh rủi ro đã ước đoán với chỉ tiêu rủi ro đã có nhằm xácđịnh mức độ nghiêm trọng của rủi ro

Quản lý rủi ro (risk management)

Các hoạt động phối hợp nhằm điều khiển và quản lý một tổ chức trướccác rủi ro có thể xảy ra

Xử lý rủi ro (risk treatment)

Quá trình lựa chọn và triển khai các biện pháp hạn chế rủi ro

Thông báo áp dụng (statement of applicability)

Thông báo bằng văn bản mô tả mục tiêu quản lý và biện pháp quản lý

thích hợp áp dụng cho hệ thống ISMS của tổ chức

2.3.3.3 Cấu trúc của bộ tiêu chuẩn

Các yêu cầu được trình bày trong tiêu chuẩn mang tính tổng quát vànhằm ứng dụng rộng rãi cho nhiều loại hình cơ quan/tổ chức khác nhau Nộidung tiêu chuẩn ISO/IEC 27001: 2005 bao gồm các phần chính :

• Hệ thống quản lý an toàn thông tin

• Trách nhiệm của lãnh đạo

• Đánh giá nội bộ hệ thống ISMS

1 Chính sách an toàn thông tin

Chính sách an toàn thông tin: Nhằm cung cấp định hướng quản lý và

hỗ trợ đảm bảo an toàn thông tin thỏa mãn với các yêu cầu trong hoạt độngnghiệp vụ, môi trường pháp lý và các quy định phải tuân thủ

2 Tổ chức đảm bảo an toàn thông tin

Tổ chức nội bộ: Nhằm đảm bảo an toàn thông tin bên trong tổ chức Các bên tham gia bên ngoài: Nhằm duy trì an toàn đối với thông tin và

các phương tiện xử lý thông tin của tổ chức được truy cập, xử lý, truyền tớihoặc quản lý bởi các bên tham gia bên ngoài tổ chức

3 Quản lý tài sản

Trách nhiệm đối với tài sản: Nhằm hoàn thành và duy trì các biện pháp

bảo vệ thích hợp đối với tài sản của tổ chức

Phân loại thông tin: Đảm bảo thông tin sẽ có mức độ bảo vệ thích hợp.

4 Đảm bảo an toàn thông tin từ nguồn nhân lực

Trước khi tuyển dụng: Đảm bảo rằng các nhân viên, người của nhà thầu

và bên thứ ba hiểu rõ trách nhiệm của mình và phù hợp với vai trò được giao,đồng thời giảm thiểu các rủi ro do đánh cắp, gian lận và lạm dụng chức năng,quyền hạn

Trong thời gian làm việc: Đảm bảo rằng mọi nhân viên của tổ chức,

người nhà thầu và bên thứ ba nhận được các mối nguy cơ và các vấn đề liênquan đến an toàn thông tin, trách nhiệm, và nghĩa vụ pháp lý của họ và đượctrang bị các kiến thức, điều kiện cần thiết nhằm hỗ trợ chính sách an toànthông tin của tổ chức trong quá trình làm việc, và giảm thiểu các rủi ro do conngười gây ra

Chấm dứt hoặc thay đổi công việc: Nhằm đảm bảo rằng các nhân viên

của tổ chức, người nhà thầu và bên thứ ba nghỉ việc hoặc thay đổi vị trí mộtcách có tổ chức

5 Đảm bảo an toàn vật lý và môi trường

Các khu vực an toàn: Nhằm ngăn chặn sự truy cập vật lý, làm hư hại và

cản trở thông tin và tài sản của tổ chức

Đảm bảo an toàn trang thiết bị: Nhằm ngăn ngừa mất mát, hư hại, đánh

cắp hoặc lợi dụng tài sản và gián đoạn các hoạt động của tổ chức

6 Quản lý truyền thông và điều hành

Các thủ tục và trách nhiệm vận hành: Nhằm đảm bảo sự điều hành các

phương tiện xử lý thông tin đúng đắn và an toàn

Quản lý chuyển giao dịch vụ của bên thứ ba: Nhằm khai thác và duy trì

mức độ an toàn thông tin và việc chuyển giao dịch vụ phù hợp với các thỏathuận chuyển giao dịch vụ của bên thứ ba

Lập kế hoạch và chấp nhận hệ thống: Giảm thiểu rủi ro do lỗi hệ thống.

Bảo vệ chống lại mã độc hại và mã di động: Nhằm bảo vệ tính toàn vẹn

của thông tin và phần mềm

Sao lưu: Nhằm duy trì tính toàn vẹn và tính sẵn sàng của thông tin và

các phương tiện xử lý thông tin

Quản lý an toàn mạng: Nhằm đảm bảo an toàn thông tin trên mạng và

cơ sở hạ tầng hỗ trợ

Quản lý phương tiện: Nhằm ngăn chặn tiết lộ, sửa đổi, xóa bỏ hoặc phá

hoại tài sản trái phép, và làm gián đoạn các hoạt động nghiệp vụ

Trao đổi thông tin: Nhằm duy trì an toàn cho các thông tin và phần

mềm được trao đổi trong nội bộ tổ chức hoặc với các thực thể bên ngoài

Các dịch vụ thương mại điện tử: Nhằm đảm bảo an toàn cho các dịch

vụ thương mại điện tử và sử dụng chúng một cách an toàn

Giám sát: Nhằm phát hiện các hoạt động xử lý thông tin trái phép.

7 Quản lý truy cập

Yêu cầu nghiệp vụ đối với quản lý truy cập: Quản lý các truy cập thông

tin

Quản lý truy cập người dùng: Nhằm đảm bảo người dùng hợp lệ được

truy cập và ngăn chặn những người dùng không hợp lệ truy cập trái phép tớicác hệ thống thông tin

Các trách nhiệm của người dùng: Nhằm ngăn chặn người dùng truy

cập trái phép, làm tổn hại hoặc lấy cắp thông tin cũng như các phương tiện xử

Điều khiển truy cập thông tin và ứng dụng: Nhằm ngăn chặn các truy

cập trái phép đến thông tin lưu trong các hệ thống ứng dụng

Tính toán qua thiết bị di động và làm việc từ xa: Nhằm đảm bảo an toàn

thông tin khi sử dụng các phương tiện tính toán di động và làm việc từ xa

8 Tiếp nhận, phát triển và duy trì các hệ thống thông tin

Yêu cầu đảm bảo an toàn cho các hệ thống thông tin: Nhằm đảm bảo

rằng an toàn thông tin là một phần không thể thiếu của các hệ thống thông tin

Xử lý thông tin trong các ứng dụng: Nhằm ngăn ngừa các lỗi, mất mát,

sửa đổi hoặc sử dụng trái phép thông tin trong các ứng dụng

Quản lý mã hóa: Nhằm bảo vệ tính bảo mật, xác thực hay toàn vẹn của

thông tin bằng các biện pháp mã hóa

An toàn cho các tệp tin hệ thống: Nhằm đảm bảo an toàn cho các tệp tin

hệ thống

Đảm bảo an toàn trong các quy trình hỗ trợ và phát triển: Nhằm duy trì

an toàn của thông tin và các phần mềm hệ thống ứng dụng

Quản lý các điểm yếu về kỹ thuật: Nhằm giảm thiểu các mối nguy hiểm

xuất phát từ việc tin tặc khai thác các điểm yếu kỹ thuật đã được công bố

9 Quản lý các sự cố an toàn thông tin

Báo cáo về các sự kiện an toàn thông tin và các nhược điểm: Nhằm

đảm bảo các sự kiện an toàn thông tin và các nhược điểm liên quan tới các hệthống thông tin được trao đổi để các hành động khắc phục được tiến hành kịpthời

Quản lý các sự cố an toàn thông tin và cải tiến: Nhằm đảm bảo tiếp cận

một cách hiệu quả và nhất quán được áp dụng trong việc quản lý sự cố antoàn thông tin

10 Quản lý sự liên tục của hoạt động nghiệp vụ

Các khía cạnh an toàn thông tin trong việc quản lý sự liên tục của hoạt động nghiệp vụ: Chống lại các gián đoạn trong hoạt động nghiệp vụ và bảo vệ

các quy trình hoạt động trọng yếu khỏi các ảnh hưởng do lỗi hệ thống thôngtin hay các thảm họa và đảm bảo khả năng khôi phục các hoạt động bìnhthường đúng lúc

11 Sự tuân thủ

Sự tuân thủ các quy định pháp lý: Nhằm tránh sự vi phạm pháp luật,

quy đinh, nghĩa vụ theo các hợp đồng đã ký kết, các yêu cầu về đảm bảo antoàn thông tin

Sự tuân thủ các chính sách và tiêu chuẩn an toàn, và tương thích kỹ thuật: Nhằm đảm bảo sự tuân thủ của hệ thống theo các chính sách và tiêu

chuẩn an toàn của tổ chức

Xem xét việc đánh giá các hệ thống thông tin: Nhằm tối ưu hóa và giảm

thiểu những ảnh hưởng xấu từ/tới quá trình kiểm toán các hệ thống thông tin

Chú thích: Thứ tự các điều khoản trong tiêu chuẩn này không bao hàm

tầm quan trọng của nó Tùy theo từng hoạt cảnh, tất cả các điều khoản có thể

là quan trọng, do đó mỗi tổ chức đang ứng dụng tiêu chuẩn này cần xác địnhmục tiêu và biện pháp kiểm soát để ứng dụng, quan trọng thế nào và ứngdụng của chúng đối với quy trình kinh doanh cụ thể Ngoài ra tất cả các danhsách trong tiêu chuẩn này không có trong thứ tự ưu tiên, trừ khi được ghi nhậnnhư vậy

2.3.4 Xây dựng hệ thống quản lý an toàn thông tin theo tiêu chuẩn ISO/IEC

27001 (Information Security Management System - ISMS)

2.3.4.1 Lợi ích khi triển khai áp dụng hệ thống quản lý an toàn thông tin (ISMS)

Lý do để các tổ chức tồn tại được là đảm bảo mọi thông tin của họ được

an toàn, nó đóng vai trò quyết định sự thành bại của một cơ quan, một tổchức, hay một doanh nghiệp ISMS được thiết kế để đảm bảo việc quản lý antoàn thông tin là đầy đủ và tương xứng, việc này được đặt ra nhằm bảo vệ tàisản thông tin của tổ chức và để cho các bên quan tâm có sự tin tưởng và sựđảm bảo ISMS có thể áp dụng được cho mọi loại hình tổ chức có nhu cầu bảo

vệ thông tin Việc triển khai hệ thống ISMS sẽ giúp tổ chức đạt được các lợiích sau:

• Đảm bảo ATTT của tổ chức, đối tác và khách hàng, giúp cho hoạt động của tổchức luôn thông suốt và an toàn

• Giúp nhân viên tuân thủ việc đảm bảo ATTT trong hoạt động nghiệp vụthường ngày Các sự cố ATTT do người dùng gây ra sẽ được hạn chế tối đakhi nhân viên được đào tạo, nâng cao nhận thức ATTT

• Giúp hoạt động đảm bảo ATTT luôn được duy trì và cải tiến Các biện pháp

kỹ thuật và chính sách tuân thủ được xem xét, đánh giá, đo lường hiệu quả vàcập nhật định kỳ

• Đảm bảo hoạt động nghiệp vụ của tổ chức không bị gián đoạn bởi các sự cốliên quan đến ATTT

• Nâng cao uy tín của tổ chức, tăng sức cạnh tranh, tạo lòng tin với khách hàng,đối tác, thúc đẩy quá trình toàn cầu hóa và tăng cơ hội hợp tác quốc tế

Hệ thống quản lý an toàn thông tin (ISMS) sẽ giúp tổ chức thực hiệnviệc kiểm soát và định hướng cho các hoạt động đảm bảo ATTT Đứng trướcnhững rủi ro về ATTT do bị tấn công hay phá hoại có chủ đích, đồng thời nếucác quy trình quản lý, vận hành không được đảm bảo việc quản lý quyền truy

cập chưa được kiểm tra và xem xét định kỳ, thì tổ chức cũng có thể gặp phảinhững rủi ro không mong muốn đối với thông tin

Vì thế việc hệ thống vận hành tốt sẽ giúp công tác đảm bảo ATTT tại tổchức được duy trì liên tục, được xem xét đánh giá định kỳ và không ngừng cảitiến để đối phó với các rủi ro mới phát sinh Các hoạt động đảm bảo ATTTtrong tổ chức sẽ mang tính hệ thống, giảm sự phụ thuộc vào cán bộ thực thi

và luôn được xem xét, đánh giá để nâng cao hiệu quả

2.3.4.2 Quy trình thực hiện ISMS

Việc xây dựng hệ thống an toàn thông tin nên căn cứ vào nhu cầu vàđặc điểm của từng tổ chức Một hệ thống an toàn có hiệu quả ở tổ chức này,nhưng không chắc là phù hợp với tổ chức khác, thậm chí có hoạt động cùnglĩnh vực đi chăng nữa

Quản lý ATTT không phải chỉ được làm một lần mà nó cần được liêntục cải tiến hoạt động (dựa trên mô hình PDCA) Tổ chức nào quản lý đượctốt ATTT thì tổ chức đó là một tổ chức có tiềm năng Hỗ trợ quản lý và camkết hoạt động của ISMS là một trong những yếu tố trọng điểm để đạt được sựthành công và tính hiệu quả trong việc thực thi ISMS

Tiêu chuẩn ISO/IEC 27001: 2009 giới thiệu một mô hình tuần hoàn là

“Lập kế hoạch - Thực hiện - Kiểm tra - Thực thi, duy trì” Act” - PDCA) có mục đích thiết lập, thực thi, giám sát và cải tiến hiệu quả hệthống quản lý an toàn thông tin Chu trình PDCA có 4 pha và được thể hiệnnhư sau:

(“Plan-Do-Check-Hình 2.3: Mô hình PDCA được áp dụng cho quy trình ISMS.

• Plan (Thiết lập ISMS): Thiết lập chính sách ISMS, đối tượng, tiến trình, thủtục liên quan tới quản lý rủi ro và cải thiện vấn đề an toàn thông tin để cungcấp kết quả phù hợp với chính sách, đối tượng của tổ chức

• Do (Triển khai và điều hành ISMS): Triển khai và điều hành chính sáchISMS, kiểm soát, xử lý và thủ tục

• Check (Giám sát và soát xét ISMS): Đánh giá, nơi được áp dụng, đo lườngquá trình thực hiện đối với các chính sách ISMS, đối tượng và những kinhnghiệm trong thực tế, báo cáo kết quả để người quản lý xem xét

• Act (Duy trì và cải tiến ISMS): Tiến hành sửa chữa và ngăn ngừa các hànhđộng, dựa trên kết quả của kiểm toán nội bộ ISMS và quản lý xem xét hoặcnhững thông tin khác có liên quan để có thể liên tục cải tiến ISMS

a) Thiết lập ISMS

Để thiết lập hệ thống ISMS, tổ chức cần thực hiện như sau :

• Xác định phạm vi, giới hạn của ISMS phù hợp với các đặc thù côngviệc, tổ chức, vị trí, tài sản và công nghệ

• Xây dựng và hoạch định chính sách ISMS theo đặc thù công việc, tổchức, địa điểm, tài sản và công nghệ :

 Xây dựng các mục tiêu và thiết lập một định hướng và nguyêntắc chung cho các hành động đảm bảo ATTT

 Tuân thủ quy định pháp lý, các yêu cầu nghiệp vụ và cam kết vềATTT đã có.

 Thiết lập tiêu chí xác định các rủi ro sẽ được ước lượng

 Mọi kế hoạch, chính sách phải được ban quản lý phê duyệt

• Xác định phương thức tiếp cận đánh giá rủi ro của tổ chức:

 Xác định phương pháp đánh giá rủi ro phù hợp với hệ thốngISMS và các quy định, luật pháp, yêu cầu và cam kết đã cócần phải tuân thủ

 Xây dựng các tiêu chí cho việc chấp nhận rủi ro và vạch rõ các mứcrủi ro có thể chấp nhận được

• Xác định các rủi ro :

 Xác định tất cả các tài sản trong phạm vi hệ thống ISMS và đốitượng quản lý các tài sản này

 Xác định các mối đe dọa đối với tài sản

 Xác định các điểm yếu có thể bị khai thác bởi các mối đe dọa trên

 Xác định các tác động làm mất tính chất bí mật, toàn vẹn và sẵn sàngcủa tài sản

• Phân tích mức độ và ước lượng các rủi ro :

 Đánh giá các ảnh hưởng tới hoạt động của tổ chức có thể gây ra do

sự cố về ATTT

 Đánh giá khả năng thực tế có thể xảy ra sự cố ATTT bắt nguồn từcác mối đe dọa, điểm yếu đã dự đoán

 Ước đoán các mức độ của rủi ro

 Xác định xem rủi ro là chấp nhận được hay phải có các biện pháp xửlý

• Xác định và đánh giá các phương pháp cho việc xử lý rủi ro :

• Lựa chọn các mục tiêu kiểm soát và phương pháp kiểm soát để xử lý rủi ro

• Trình ban quản lý phê chuẩn các rủi ro đã đề xuất

• Trình ban quản lý cho phép triển khai và vận hành hệ thống ISMS

• Chuẩn bị thông báo áp dụng bao gồm:

 Các mục tiêu quản lý và biện pháp quản lý đã được lựa chọn

 Các mục tiêu quản lý và biện pháp quản lý đang được thực hiện

 Các mục tiêu quản lý và biện pháp quản lý trong Phụ lục A đã loạitrừ

b) Triển khai và điều hành hệ thống ISMS

Quá trình triển khai và điều hành hệ thống ISMS cần thực hiện như sau:

• Lập kế hoạch xử lý rủi ro trong đó xác định các hành động quản lýthích hợp, các tài nguyên, các trách nhiệm và mức độ ưu tiên quản lýcác rủi ro an toàn thông tin

• Triển khai kế hoạch xử lí rủi ro nhằm đạt được mục tiêu quản lý đãxác định trong đó bao gồm cả việc xem xét kinh phí đầu tư cũng nhưphân bổ các vai trò, trách nhiệm

• Triển khai các biện pháp quản lý được lựa chọn để đáp ứng các mụctiêu quản lý

• Xác định cách đánh giá hiệu lực của các biện pháp quản lý đã lựachọn và chỉ ra các phương pháp đánh giá này sẽ được sử dụng như thếnào trong việc đánh giá hiệu lực của các biện pháp quản lý nhằm tạo

ra những kết quả có thể so sánh được và tái tạo được

• Triển khai các chương trình đào tạo và nhận thức

• Quản lý các hoạt động của ISMS

• Quản lý các tài nguyên dành cho hệ thống ISMS

• Triển khai các thủ tục và các biện pháp quản lý khác có khả năng pháthiện các sự kiện ATTT và phản ứng với các sự cố ATTT

c) Giám sát và soát xét hệ thống ISMS

Tổ chức cần thực hiện những hành động sau đây:

• Tiến hành giám sát, soát xét các thủ tục và các biện pháp quản lý nhằm:

 Phát hiện kịp thời các sai sót trong kết quả xử lý

 Nhanh chóng xác định các tấn công, lỗ hổng và sự cố ATTT

 Cho phép nhà quản lý xác định xem các hoạt động an toàn cóđược hiệu quả như mong đợi

 Hỗ trợ phát hiện các sự kiện ATTT và do đó ngăn chặn sớm các

sự cố ATTT bằng cách sử dụng các dấu hiệu cần thiết

 Xác định hiệu lực của các hành động xử lý vi phạm ATTT đãthực hiện

• Thường xuyên soát xét hiệu lực của hệ thống ISMS, xem xét các sự cố

đã xảy ra, các kết quả đánh giá hiệu lực, các đề xuất và thông tin phảnhồi thu thập được từ các bên liên quan

• Đánh giá hiệu lực của các biện pháp quản lý để xác minh các yêu cầu

về ATTT đã được đáp ứng

• Soát xét các đánh giá rủi ro đã tiến hành theo kế hoạch và soát xét cácmức độ rủi ro tồn đọng cũng như mức độ rủi ro có thể chấp nhận được

• Thực hiện việc kiểm toán nội bộ hệ thống ISMS một cách định kỳ.

• Thực hiện soát xét của ban quản lý đối với hệ thống ISMS một cáchthừng xuyên để đảm bảo phạm vi đặt ra vẫn phù hợp và xác định cảitiến cho hệ thống

• Cập nhật kế hoạch đảm bảo ATTT theo sát thay đổi của tình hình thực

tế thu được qua các hoạt động giám sát và đánh giá

• Ghi chép, lập tài liệu về các hành động và sự kiện có khả năng ảnhhửng đến hiệu lực hoặc hiệu suất của hệ thống ISMS

d) Duy trì và cải tiến hệ thống

Tổ chức cần thường xuyên thực hiện:

• Triển khai các cải tiến đã được xác định cho hệ thống ISMS

• Tiến hành các hành động khắc phục và phòng ngừa thích hợp Vậndụng kinh nghiệm đã có cũng như tham khảo từ các tổ chức khác

• Thông báo và thống nhất với các bên liên quan về các hành động và cảitiến của hệ thống ISMS

• Đảm bảo việc cải tiến phải đạt được mục tiêu đã đưa ra

2.3.5 Quá trình chứng nhận ISO/IEC 27001

Một ISMS (Hệ thống quản lý an toàn thông tin) có thể được chứngnhận phù hợp với ISO/IEC 27001 bởi một số đăng ký được công nhận trêntoàn thế giới

Quy trình chứng nhận ISO/IEC 27001 về cơ bản giống như quy trìnhchứng nhận tiêu chuẩn ISO 9001 và các hệ thống quản lý khác Quy trình này

là một cuộc đánh giá độc lập ISMS (Hệ thống quản lý an toàn thông tin) của

tổ chức chứng nhận được chia làm ba giai đoạn chính:

Giai đoạn 1: Tiền đánh giá

Khi đã ký hợp đồng chứng nhận với một Tổ chức được công nhận, tổchức chứng nhận sẽ yêu cầu gửi bản sao tài liệu ISMS, sổ tay chính sách,

để xem lại chính thức Ví dụ kiểm tra sự tồn tại và đầy đủ của các tài liệuquan trọng như chính sách thông tin của tổ chức an ninh, bản thông cáo(SOA) và kế hoạch điều trị rủi ro (RTP)

Giai đoạn này dùng để làm quen các kiểm toán viên với tổ chức vàngược lại Khi mọi thứ đã sẵn sàng, họ sẽ tổ chức đánh giá chứng nhận theothoả thuận

Giai đoạn 2: Đánh giá cấp chứng nhận

Bản thân giai đoạn này chính là một cuộc đánh giá chính thức Mộthoặc nhiều chuyên gia đánh giá từ các Tổ chức chứng nhận sẽ đến cơ sở của

tổ chức được công nhận, làm việc một cách có hệ thống thông qua bản danhsách đánh giá, kiểm tra mọi thứ Lần lượt kiểm tra chính sách ISMS của tổchức đó, tiêu chuẩn và quy trình đối với các yêu cầu đặt ra trong tiêu chuẩnISO/IEC 27001, và cũng có thể tìm kiếm bằng chứng chứng minh tổ chức đóthực hiện theo hệ thống tài liệu trong thực tế Tổ chức chứng nhận sẽ thu thập

và đánh giá chứng cứ bao gồm các sản phẩm được sản xuất theo các quy trìnhISMS (như hồ sơ cho phép người sử dụng nhất định có quyền truy cập nhấtđịnh đến hệ thống nhất định, hoặc biên bản cuộc họp của lãnh đạo xác nhậnphê duyệt các chính sách) hoặc bằng cách quan sát trực tiếp quá trình ISMStrong các hoạt động thực tế

Qua kết quả này các giai đoạn trong ISMS được chứng nhận phù hợpvới ISO/ IEC 27001

Giai đoạn 3: Báo cáo đánh giá

Kết quả của cuộc đánh giá sẽ được báo cáo chính thức cho ban lãnhđạo Tùy thuộc vào cách thức thực hiện đánh giá trên thực tế và theo các quátrình đánh giá chuẩn của chuyên gia đánh giá, các chuyên gia sẽ nêu lên cácvấn đề sau (theo thứ tự tăng dần về mức độ nghiêm trọng):

• Điểm quan sát – các khuyến nghị hoặc các vấn đề tiềm năng trong tương laiđược khuyên để tâm xem xét

• Điểm không phù hợp nhỏ – đây là những điểm không phù hợp mà tổ chứcphải giải quyết, nó là điều kiện để cấp chứng nhận Tổ chức chứng nhận cóthể đưa ra hoặc không đưa ra những kiến nghị khắc phục các điểm không phùhợp nhẹ này Họ cũng có thể chính thức kiểm tra xem các điểm không phùhợp nhẹ đó đã được giải quyết hay chưa, hoặc không mà dựa trên báo cáokhắc phục tổ chức được đánh giá Họ sẽ dành cho tổ chức được đánh giá mộtkhoảng thời gian để giải quyết vấn đề và tiếp tục xin cấp chứng nhận, nhưng

dù áp dụng cách nào trong hai cách trên, thì gần như chắc chắn là tổ chứcchứng nhận đó muốn xác nhận rằng mọi thứ đã được giải quyết trước lầnđánh giá chứng nhận tiếp theo

• Điểm không phù hợp lớn – đó là những điểm có thể kết thúc quá trình chứngnhận, là một vấn đề quan trọng và có nghĩa là tổ chức không thể nhận đượcchứng nhận ISO/IEC 27001 cho đến khi giải quyết xong những điểm không

phù hợp này Tổ chức chứng nhận có thể kiến nghị cách thức giải quyết cácđiểm không phù hợp đó và sẽ yêu cầu tổ chức được chứng nhận đưa ra nhữngbằng chứng tích cực chứng minh các điểm không phù hợp đó đã được giảiquyết triệt để trước khi cấp chứng nhận Cuộc đánh giá có thể sẽ bị đình chỉnếu xác định được một điểm không phù hợp nặng để cho tổ chức cơ hội sửachữa vấn đề trước khi tiếp tục đánh giá.

Sau lần đánh giá chứng nhận ban đầu sẽ có những cuộc đánh giá định

kỳ tiếp theo (thường được gọi là “đánh giá giám sát”, đôi khi được gọi làCAVs ” Đánh giá liên tục”, ) trong thời gian tổ chức vẫn lựa chọn duy trìchứng nhận Chứng nhận có giá trị trong ba năm, do vậy, sẽ có một cuộc đánhgiá cấp lại chứng nhận sau ba năm

Xây dựng hệ thống ISMS để lấy chứng chỉ ISO/IEC 27001 đảm bảocho thông tin được an ninh, an toàn và bảo mật đang được nhiều doanhnghiệp Việt nam quan tâm Đây là một tín hiệu tốt, một thước đo trình độ pháttriển của ứng dụng CNTT trong đời sống kinh tế - xã hội Việt nam

2.4 Tiêu chuẩn ISO/IEC 27002: 2005

2.4.1 Giới thiệu chung

ISO/IEC 27002 là tiêu chuẩn quốc tế được đưa ra bởi Viện Tiêu chuẩnAnh quốc (BSI), là một bộ quy định thực thi về quản lý an toàn thông tin vàđược coi như là hướng dẫn cơ bản chung, có thể phát triển thành các tiêuchuẩn an toàn thông tin và quản lý hiệu quả hoạt động của tổ chức

Tiêu chuẩn này là tên gọi mới của tiêu chuẩn ISO/IEC 17799 để ápdụng cùng với các tiêu chuẩn ISO/IEC 27001 (Information SecurityManagement System) và ISO/IEC 27004 (Information Security ManagementMetrics) thành bộ tiêu chuẩn ISO/IEC 27000

ISO/IEC 27002 thiết lập các hướng dẫn và các nguyên tắc chung choviệc khởi xướng, thực hiện, duy trì và cải thiện quản lý an toàn thông tin trongmột tổ chức ISO/IEC 27002 chứa các biện pháp thi hành tốt nhất cho mụctiêu kiểm soát và biện pháp kiểm soát trong các lĩnh vực quản lý an toànthông tin

Các mục tiêu kiểm soát và biện pháp kiểm soát trong ISO/IEC 27002được dự định thực hiện để đáp ứng các yêu cầu được xác định bởi một đánhgiá rủi ro ISO/IEC 27002 được coi như là một hướng dẫn thực tế để phát