Hệ thống quản lý an toàn thông tin (ISMS) theo ISO 27001 2005

Nhu cầu thực tế & giới thiệu về bộ tiêu chuẩn Quốc cận áp dụng thực tế... Nhu cầu cần có của tiêu chuẩn♦ Trước những năm 1970, công ♦ Pháp luật về Chữ ký ñiện tử tạo ñiều kiện cho việ

H ệ th ố ng Qu ả n lý An toàn Thông Tin (ISMS)

Nội dung

1 Nhu cầu thực tế & giới thiệu về bộ tiêu chuẩn Quốc

cận áp dụng thực tế.

3 Ích lợi

NHU C Ầ U C Ầ N CÓ C Ủ A HT AN TOÀN THÔNG TIN

Nhu cầu cần có của tiêu chuẩn

♦ Trước những năm 1970, công

♦ Pháp luật về Chữ ký ñiện tử tạo

ñiều kiện cho việc phát triển

e-business, e-commerce

♦ Mọi người cần niềm tin và thực

hiện có hiệu lực => HTQL ATTT

Các HTQL nhằm cải tiến & cung cấp lòng tin

Lịch sử của bộ tiêu chuẩn

Bộ tiêu chuẩn ISO 27000 của JTC1 – SC 27

ISO/

FCD 27000

IT - ISMS – Nguyên t ắ c

và t ừ v ự ng

ISO/

FCD 27004

IT - ISMS –

ð o l ườ ng

ISO 27001 : 2005

ISO 27001 : 2005

2005

ISO 27002:

2005

ISO 27005 :2008

ISO 27005 :2008

ISO/

CD 27003

ISO 27006 :2007

♦ Phát triển và hoàn thiện những

tiêu chuẩn cơ bản: 27000 - Cơ

sở, từ vựng, 27004 – ðo lường

♦ Phát triển và hoàn thiện những

tiêu chuẩn Hướng dẫn (chung

chuẩn 27033-1 cho tới 27033-7

Xu hướng phát triển của Bộ tiêu chuẩn ISO 27000

Ngu ồ n: ISO/JTC1/SC27

GI Ớ I THI Ệ U ISO 27001:2005

& CÁC B ƯỚ C ÁP D Ụ NG TH Ự C T Ế

ðị nh ngh ĩ a:

THÔNG TIN là m ộ t lo ạ i tài s ả n, gi ố ng nh ư nh ữ ng tài s ả n kinh doanh quan

tr ọ ng khác, thông tin có giá tr ị ñố i v ớ i m ộ t t ổ ch ứ c và do ñ ó c ầ n ñượ c B Ả O V Ệ

CIA (Confidential-Integrity-Availability) :

TÍNH B Ả O M Ậ T: Thông tin không

s ẵ n có ho ặ c không nên ñể l ộ cho

ð nh ngh ĩ a :

“ H ệ th ố ng qu ả n lý an toàn thông tin (ISMS) là m ộ t ph ầ n c ủ a h ệ th ố ng qu ả n lý t ổ ng

th ế , d ự a trên cách ti ế p c ậ n theo r ủ i ro c ủ a kinh doanh, ñể thi ế t l ậ p, th ự c hi ệ n, ñiề u hành, giám sát, xem xét, duy trì và c ả i ti ế n vi ệ c b ả o m ậ t thông tin”

Nhưng những lợi ích có ñược là gì?

Các bên

h ữ u quan

An toàn thông tin ñược quản lý

và cải tiến

Plan Do

Giới thiệu ISO 27001:2005

► 4 H ệ th ố ng qu ả n lý an toàn thông tin

ISMS theo ISO 27001:2005

d ụ ng và v ậ n hành tích h ợ p M t HTQL

c thit k thích hp có th
tho mãn tt c các tiêu chun này”

♦ M ụ c 1.2 Áp d ụ ng / Chú thích: “Dùng

HTQL hin có ñể tho ả mãn các yêu

c ầ u c ủ a tiêu chu ẩ n này s ẽ t ố t h ơ n trong

ñ a s ố các tr ườ ng h ợ p”

Phạm vi & ranh giới

Xây dựng ISMS theo ISO 27001:2005

Liệt kê, kiểm kê và ñánh giá các loại tài sản (thông tin)

Chính

Sách

ISMS

Xác ñịnh các mối ñe doạ (threat) Xác ñịnh các lỗ hổng (vulnerability)

Phương pháp ñánh giá rủi ro ð ánh giá rủi ro & tác ñộng

Dự toán mức rủi ro (risk levels)

Xác ñịnh rủi ro chấp nhận hay không

SO SÁNH VỚI HTQL HIỆN CÓ (ISO 9001:2008)

► 4 H ệ th ố ng qu ả n lý an toàn thông tin

Bảng so sánh tương ñồng giữa

9001/14001&27001:

Xem trang trước

MKT VTS SPV AAR

ACAB

D&D PLD PROY

ADQ PLA CMP CINV

OPER PLM CORTE ENS

LOG ALM EMB ENTR

FIN CONT FACT COBR

committed to

excellence an

d satisfaction

of all

our

customers, e

mployees, su

pplier

s and

society

in general

Continual improvement

is a pe

rmane

nt activity O

ur goa

l is to

desig

n manufactu

re an

d mark

et quality

produc

ts and servic

es at c

ompetitive

prices

and become leade

rs in o

ur sector.

J J President

Qua lity

Poli cy

Khách hàng

Các tổ chức chuyên mơn

Các bên cung cấp thứ Ba

9 0 0 1 n h

ư

n g b à

i b

ả n

Giới thiệu ISO 27001:2005

Giới thiệu ISO 27001:2005

ÍCH L Ợ I

♦ Bảo vệ tài sản thông tin một cách

♦ Là bằng chứng thấy ñược về những thực hành ñược áp dụng cho các bên quan tâm:

BUREAU VERITAS CERTIFICATION VIETNAM

► Phát hành 2000 Gi ấ y ch ứ ng nh ậ n

phù h ợ p v ớ i các tiêu chu ẩ n qu ố c

t ế cho các HTQL

► Phù h ợ p ISO 17021:2006 & ñượ c

chuy ể n thành Trung tâm ch ứ ng

nh ậ n (ICC) t ừ tháng 9 n ă m 2008

 Quyết ñịnh chứng nhận với công

nhận của UKAS & ANAB.

 Kịp thời hơn với nhu cầu khách hàng

► Có chuyên gia ñ ánh giá ngườ i Vi ệ t

Giới thiệu ISO 27001: 2005< /b>