Trình bày về Hệ thống quản trị an toàn (ISMS) của doanh nghiệp và cho ví dụ minh họa.

Trình bày về Hệ thống quản trị an toàn (ISMS) của doanh nghiệp và cho ví dụ minh họa. Thông tin là một tài sản, giống như các tài sản nghiệp vụ quan trọng khác, thông tin có giá trị với doanh nghiệp và do đó luôn cần được bảo vệ. Rủi ro liên quan đến tài sản thông tin của một tổ chức cần phải được giải quyết và để đạt được an toàn thông tin đòi hỏi phải quản lý rủi ro, bao gồm rủi ro từ các mối đe dọa liên quan đến vật lý, con người và công nghệ đối với tất cả các hình thức thông tin trong tổ chức hoặc được sử dung bởi tổ chức. Việc áp dụng một hệ thống ISMS là một quyết định chiến lược cho một tổ chức và điều cần thiết là quyết định này được tích hợp nhuần nhuyễn, có mở rộng và cập nhật phù hợp với nhu cầu của tổ chức. 1. Các khái niệm 1.1. Hệ thống quản lý Hệ thống quản lý là “Tập hợp các yếu tố có liên quan hoặc tương tác lẫn nhau của tổ chức để thiết lập chính sách, mục tiêu và các quá trình để đạt được các mục tiêu đó. Một hệ thống quản lý có thể giải quyết một hay nhiều lĩnh vực, ví dụ quản lý chất lượng; quản lý tài chính hoặc quản lý môi trường. Các yếu tố của hệ thống quản lý chất lượng thiết lập cơ cấu, vai trò và trách nhiệm, việc hoạch định, vận hành, chính sách, thực hành, quy tắc, niềm tin, mục tiêu của tổ chức và các quá trình để đạt được những mục tiêu đó. Phạm vi của hệ thống quản lý có thể bao gồm toàn bộ tổ chức, các chức năng cụ thể được nhận biết trong tổ chức, các bộ phận cụ thể được nhận biết của tổ chức, hoặc một hay nhiều chức năng xuyên suốt một nhóm tổ chức. (TCVNISO90002015) 1.2. An toàn thông tin Mọi sự kiện đã được xác định trong một hệ thống, dịch vụ hay trạng thái mạng chỉ ra khả năng vi phạm chính sách an toàn thông tin, sự thất bại của hệ thống bảo vệ, hoặc một vấn đề chưa biết gây ảnh hưởng đến an toàn thông tin. (TCVN ISOIEC 27001:2009) 1.3. Hệ thống quản lý an toàn thông tin (Information Security Management System ISMS) Hệ thống quản lý an toàn thông tin là một phần của hệ thống quản lý toàn diện, dựa trên các rủi ro có thể xuất hiện trong hoạt động của tổ chức để thiết lập, triển khai, điều hành, giám sát, soát xét, duy trì và cải tiến an toàn thông tin. CHÚ THÍCH: Hệ thống quản lý toàn diện bao gồm cơ cấu, chính sách, kế hoạch hoạt động, trách nhiệm, quy định, thủ tục, quy trình và tài nguyên của tổ chức. (TCVN ISOIEC 27001:2009) 2. Thiết lập và quản lý hệ thống ISMS

TRƯỜNG ĐẠI HỌC THƯƠNG MẠI

KHOA HTTTKT & TMĐT

minh họa

Lớp HP: 1920eCIT0921

Thành viên nhóm: Nguyễn Lưu Hà Linh

Trần Hải Yến

Hà Nội, 2019 Mục Lục LỜI MỞ ĐẦU 1

1 Các khái niệm 2

1.1 Hệ thống quản lý 2

1.2 An toàn thông tin 2

1.3 Hệ thống quản lý an toàn thông tin 2

2 Thiết lập và quản lý hệ thống ISMS 2

2.1 Thiết lập hệ thống ISMS 2

2.2 Triển khai và điều hành hệ thống ISMS 5

2.3 Giám sát và soát xét hệ thống ISMS 6

2.4 Duy trì và cải tiến hệ thống ISMS 7

3 Lợi ích triển khai áp dụng ISMS 7

4 Áp dụng hệ thống quản lý an toàn thông tin theo TCVN ISO/IEC 27001:2009 tại Công ty CP Netplus 9

4.1 Hiện trạng về đảm bảo an toàn thông tin trong quá trình kinh doanh tại NETPUS trước khi triển khai dự án hỗ trợ: 9

4.2 Quá trình triển khai dự án xây dựng và áp dụng hệ thống an toàn thông tin TCVN ISO/IEC 27001 tại NETPLUS 10

4.2.1 Lý do triển khai dự án 10

4.2.2 Mục tiêu dự án: 11

4.2.3 Phạm vi áp dụng và thời gian triển khai dự án: 11

4.2.4 Phương pháp triển khai: 11

4.3 Các kết quả, hiệu quả đạt được sau khi triển khai dự án xây dựng và áp dụng hệ thống an toàn thông tin TCVN ISO/IEC 27001 tại NETPLUS 12

4.3.1 Kết quả đạt được: 12

4.3.2 Hiệu quả dự án: 13

4.3.3 Những thuận lợi, khó khăn, bài học kinh nghiệm: 13

KẾT LUẬN 14

LỜI MỞ ĐẦU

Thông tin là một tài sản, giống như các tài sản nghiệp vụ quan trọng khác, thông tin có giá trị với doanh nghiệp và do đó luôn cần được bảo vệ Rủi ro liên quan đến tài sản thông tin của một tổ chức cần phải được giải quyết và để đạt được an toàn thông tin đòi hỏi phải quản lý rủi ro, bao gồm rủi ro từ các mối đe dọa liên quan đến vật lý, con người và công nghệ đối với tất cả các hình thức thông tin trong tổ chức hoặc được sử dung bởi tổ chức Việc áp dụng một hệ thống ISMS là một quyết định chiến lược cho một tổ chức và điều cần thiết là quyết định này được tích hợp nhuần nhuyễn, có mở rộng và cập nhật phù hợp với nhu cầu của tổ chức

1 Các khái niệm

1.1 Hệ thống quản lý

Hệ thống quản lý là “Tập hợp các yếu tố có liên quan hoặc tương tác lẫn nhau của tổ chức để thiết lập chính sách, mục tiêu và các quá trình để đạt được các mục tiêu đó

Một hệ thống quản lý có thể giải quyết một hay nhiều lĩnh vực, ví dụ quản lý chất lượng; quản lý tài chính hoặc quản lý môi trường

Các yếu tố của hệ thống quản lý chất lượng thiết lập cơ cấu, vai trò và trách nhiệm, việc hoạch định, vận hành, chính sách, thực hành, quy tắc, niềm tin, mục tiêu của tổ chức và các quá trình để đạt được những mục tiêu đó

Phạm vi của hệ thống quản lý có thể bao gồm toàn bộ tổ chức, các chức năng cụ thể được nhận biết trong tổ chức, các bộ phận cụ thể được nhận biết của tổ chức, hoặc một hay nhiều chức năng xuyên suốt một nhóm tổ chức

(TCVN-ISO-9000-2015)

1.2 An toàn thông tin

Mọi sự kiện đã được xác định trong một hệ thống, dịch vụ hay trạng thái mạng chỉ ra khả năng vi phạm chính sách an toàn thông tin, sự thất bại của hệ thống bảo vệ, hoặc một vấn

đề chưa biết gây ảnh hưởng đến an toàn thông tin

(TCVN ISO/IEC 27001:2009)

1.3 Hệ thống quản lý an toàn thông tin (Information Security Management System -

ISMS)

Hệ thống quản lý an toàn thông tin là một phần của hệ thống quản lý toàn diện, dựa trên các rủi ro có thể xuất hiện trong hoạt động của tổ chức để thiết lập, triển khai, điều hành, giám sát, soát xét, duy trì và cải tiến an toàn thông tin

CHÚ THÍCH: Hệ thống quản lý toàn diện bao gồm cơ cấu, chính sách, kế hoạch hoạt động, trách nhiệm, quy định, thủ tục, quy trình và tài nguyên của tổ chức

(TCVN ISO/IEC 27001:2009)

2 Thiết lập và quản lý hệ thống ISMS

2.1 Thiết lập hệ thống ISMS

Để thiết lập hệ thống ISMS, tổ chức cần thực hiện như sau:

a) Xác định phạm vi và các giới hạn của hệ thống ISMS theo đặc thù công việc, tổ chức, địa điểm, tài sản và công nghệ Khi loại trừ các biện pháp quản lý khỏi phạm vi áp dụng cần phải đưa ra lý do và các thông tin chi tiết

b) Xây dựng và hoạch định chính sách ISMS theo đặc thù công việc, tổ chức, địa điểm, tài sản và công nghệ Chính sách này:

1) bao gồm khuôn khổ để xây dựng các mục tiêu và thiết lập một định hướng và nguyên tắc chung cho các hành động đảm bảo an toàn thông tin;

2) tuân thủ quy định pháp lý, các yêu cầu nghiệp vụ và cam kết về an toàn thông tin đã có;

3) thiết lập và duy trì hệ thống ISMS như một phần trong chiến lược quản lý rủi ro chung của tổ chức;

4) thiết lập tiêu chí xác định các rủi ro sẽ được ước lượng;

5) cần phải được ban quản lý phê duyệt

CHÚ THÍCH: trong tiêu chuẩn này, chính sách ISMS được xem xét như là một danh mục đầy đủ các chính sách an toàn thông tin Các chính sách này có thể được mô tả trong cùng một tài liệu

c) Xác định phương pháp tiếp cận đánh giá rủi ro của tổ chức

1) Xác định hệ phương pháp đánh giá rủi ro phù hợp với hệ thống ISMS và các quy định, luật pháp, yêu cầu và cam kết đã có cần phải tuân thủ

2) Xây dựng các tiêu chí cho việc chấp nhận rủi ro và vạch rõ các mức rủi ro có thể chấp nhận được

Hệ phương pháp đánh giá rủi ro được lựa chọn phải đảm bảo các đánh giá rủi ro đưa ra các kết quả có thể so sánh và tái tạo được

CHÚ THÍCH: Có nhiều hệ phương pháp đánh giá rủi ro khác nhau Ví dụ về các hệ phương pháp đánh giá rủi ro được nêu ra trong tài liệu ISO/IEC TR 13335-3

“Information technology - Guidelines for the management of IT Security - Techniques for the management of IT Security "

d) Xác định các rủi ro

1) Xác định tất cả các tài sản trong phạm vi hệ thống ISMS và đối tượng quản lý các tài sản này

2) Xác định các mối đe doạ đối với tài sản

3) Xác định các điểm yếu có thể bị khai thác bởi các mối đe doạ trên

4) Xác định các tác động làm mất tính chất bí mật, toàn vẹn và sẵn sàng của tài sản e) Phân tích và ước lượng các rủi ro

1) Đánh giá các ảnh hưởng tới hoạt động của tổ chức có thể gây ra do sự cố về an toàn thông tin, chú ý đến các hậu quả của việc mất tính bảo mật, toàn vẹn hay sẵn sàng của các tài sản

2) Đánh giá các khả năng thực tế có thể xảy ra sự cố an toàn thông tin bắt nguồn từ các mối đe dọa và điểm yếu đã dự đoán Đồng thời đánh giá các tác động tới tài sản và các biện pháp bảo vệ đang thực hiện

3) Ước đoán các mức độ của rủi ro

4) Xác định rủi ro là chấp nhận được hay phải có biện pháp xử lý dựa trên các tiêu chí chấp nhận rủi ro đã được thiết lập trong 4.2.1 c)2

f) Xác định và đánh giá các lựa chọn cho việc xử lý rủi ro

Các hành động có thể thực hiện bao gồm:

1) áp dụng các biện pháp quản lý thích hợp;

2) chấp nhận rủi ro với điều kiện chúng hoàn toàn thỏa mãn các chính sách và tiêu chí chấp nhận rủi ro của tổ chức;

3) tránh các rủi ro;

4) chuyển giao các rủi ro các bên tham gia khác, như bảo hiểm, nhà cung cấp

g) Lựa chọn các mục tiêu quản lý và biện pháp quản lý để xử lý các rủi ro.

Các mục tiêu quản lý và biện pháp quản lý phải được lựa chọn và thực hiện để đáp ứng các yêu cầu được xác định bởi quá trình đánh giá rủi ro và xử lý rủi ro Việc lựa chọn này phải xem xét đến tiêu chí chấp nhận rủi ro cũng như các yêu cầu về pháp lý, quy định và cam kết phải tuân thủ

h) Trình ban quản lý phê chuẩn các rủi ro tồn đọng đã đề xuất

i) Trình ban quản lý cho phép triển khai và vận hành hệ thống ISMS

j) Chuẩn bị thông báo áp dụng

Thông báo áp dụng hệ thống ISMS bao gồm:

1) các mục tiêu quản lý và biện pháp quản lý đã được lựa chọn và lý do cho các lựa chọn này;

2) các mục tiêu quản lý và biện pháp quản lý đang được thực hiện;

3) các mục tiêu quản lý và biện pháp quản lý đã loại trừ và giải trình cho việc loại trừ này;

2.2 Triển khai và điều hành hệ thống ISMS

Quá trình triển khai và điều hành hệ thống ISMS cần thực hiện như sau:

a) Lập kế hoạch xử lý rủi ro trong đó xác định các hành động quản lý thích hợp, các tài nguyên, các trách nhiệm và mức độ ưu tiên quản lý các rủi ro an toàn thông tin

b) Triển khai kế hoạch xử lý rủi ro nhằm đạt được mục tiêu quản lý đã xác định trong đó bao gồm cả việc xem xét kinh phí đầu tư cũng như phân bổ các vai trò, trách nhiệm c) Triển khai các biện pháp quản lý được lựa chọn trong để đáp ứng các mục tiêu quản lý đ) Xác định cách đánh giá hiệu lực của các biện pháp quản lý hoặc nhóm các biện pháp quản lý đã lựa chọn và chỉ ra các phương pháp đánh giá này sẽ được sử dụng như thế nào trong việc đánh giá hiệu lực của các biện pháp quản lý nhằm tạo ra những kết quả có thể

so sánh được và tái tạo được

CHÚ THÍCH: Việc đánh giá hiệu lực của các biện pháp quản lý đã lựa chọn cho phép người quản lý và nhân viên xác định các biện pháp quản lý đã đạt được mục tiêu quản lý theo kế hoạch như thế nào

e) Triển khai các chương trình đào tạo nâng cao nhận thức

f) Quản lý hoạt động của hệ thống ISMS

g) Quản lý các tài nguyên dành cho hệ thống ISMS

h) Triển khai các thủ tục và các biện pháp quản lý khác có khả năng nhanh chóng phát hiện các sự kiện an toàn thông tin và phản ứng với các sự cố an toàn thông tin

2.3 Giám sát và soát xét hệ thống ISMS

Tổ chức thực hiện các hành động sau đây:

a) Tiến hành giám sát, soát xét các thủ tục và các biện pháp quản lý khác nhằm:

1) nhanh chóng phát hiện ra các lỗi trong kết quả xử lý;

2) nhanh chóng xác định các tấn công, lỗ hổng và sự cố an toàn thông tin;

3) cho phép ban quản lý xác định các hoạt động an toàn thông tin giao cho người hoặc thực hiện bằng công nghệ thông tin đã được thực hiện như mong muốn;

4) hỗ trợ phát hiện các sự kiện an toàn thông tin và do đó ngăn chặn sớm các sự cố an toàn thông tin bằng cách sử dụng các dấu hiệu cần thiết;

5) xác định hiệu lực của các hành động xử lý vi phạm an toàn thông tin đã thực hiện

b) Thường xuyên soát xét hiệu lực của hệ thống ISMS (bao gồm việc đáp ứng các chính sách và mục tiêu quản lý của ISMS, và soát xét việc thực hiện các biện pháp quản lý an toàn thông tin) trong đó xem xét đến các kết quả kiểm toán an toàn thông tin, các sự cố đã xảy ra, các kết quả đánh giá hiệu lực, các đề xuất và thông tin phản hồi thu thập được từ các bên liên quan

c) Đánh giá hiệu lực của các biện pháp quản lý để xác minh các yêu cầu về an toàn thông tin đã được đáp ứng

d) Soát xét các đánh giá rủi ro đã tiến hành theo kế hoạch và soát xét các rủi ro tồn đọng cũng như mức độ rủi ro có thể chấp nhận được Trong đó lưu ý các thay đổi trong:

1) tổ chức;

2) công nghệ;

3) mục tiêu và các quá trình nghiệp vụ;

4) các mối đe dọa an toàn thông tin đã xác định;

5) hiệu lực của các biện pháp quản lý đã thực hiện;

6) các sự kiện bên ngoài, như thay đổi trong môi trường pháp lý hay quy định, thay đổi trong các nghĩa vụ hợp đồng, thay đổi về hoàn cảnh xã hội

e) Thực hiện việc kiểm toán nội bộ hệ thống ISMS một cách định kỳ

CHÚ THÍCH: Kiểm toán nội bộ đôi khi còn được gọi là kiểm toán của bên thứ nhất và được thực hiện bởi chính tổ chức hoặc đại diện của tổ chức

f) Thực hiện soát xét của ban quản lý đối với hệ thống ISMS một cách thường xuyên để đảm bảo phạm vi đặt ra vẫn phù hợp và xác định các cải tiến cần thiết cho hệ thống ISMS

g) Cập nhật kế hoạch bảo đảm an toàn thông tin theo sát thay đổi của tình hình thực tế thu được qua các hoạt động giám sát và đánh giá

h) Ghi chép, lập tài liệu về các hành động và sự kiện có khả năng ảnh hưởng đến hiệu lực hoặc hiệu suất của hệ thống ISMS

2.4 Duy trì và cải tiến hệ thống ISMS

Tổ chức cần thường xuyên thực hiện:

a) Triển khai các cải tiến đã được xác định cho hệ thống ISMS

b) Tiến hành các hành động khắc phục và phòng ngừa thích hợp Vận dụng kinh nghiệm

đã có cũng như tham khảo từ các tổ chức khác

c) Thông báo và thống nhất với các bên liên quan về các hành động và cải tiến của hệ thống ISMS

d) Đảm bảo việc cải tiến phải đạt được các mục tiêu đã đặt ra

(TCVN ISO/IEC 27001:2009)

3 Lợi ích triển khai áp dụng ISMS

- Đảm bảo ATTT của tổ chức, đối tác và khách hàng, giúp cho hoạt động của tổ chức luôn thông suốt và an toàn

- Giúp nhân viên tuân thủ việc đảm bảo ATTT trong hoạt động nghiệp vụ thường ngày; Các sự cố ATTT do người dùng dây ra sẽ được hạn chế tối đa khi nhân viên được đào tạo, nâng cao nhận thức ATTT

- Giúp hoạt động đảm bảo ATTT luôn được duy trì và cải tiến Các biện pháp kỹ thuật và chính sách tuân thủ được xem xét, đánh giá, đo lường hiệu quả và cập nhật định kỳ

- Đảm bảo hoạt động nghiệp vụ của tổ chức không bị gián đoạn bởi các sự cố liên quan đến ATTT

- Nâng cao uy tín của tổ chức, tăng sức cạnh tranh, tạo lòng tin với khách hàng, đối tác, thúc đẩy quá trình toàn cầu hóa và tăng cơ hội hợp tác quốc tế

*Tại sao ISMS lại quan trọng

Rủi ro liên quan đến tài sản thông tin của một tổ chức cần phải được giải quyết Đạt được

an toàn thông tin đòi hỏi phải quản lý rủi ro, bao gồm rủi ro từ các mối đe dọa liên quan

về vật lý, con người và công nghệ đối với tất cả các hình thức thông tin trong tổ chức hoặc được sử dụng bởi tổ chức

Việc áp dụng một hệ thống ISMS được trông đợi là một quyết định chiến lược cho một tổ chức và điều cần thiết là quyết định này được tích hợp nhuần nhuyễn, có mở rộng và cập nhật phù hợp với nhu cầu của tổ chức

Việc thiết kế và thực hiện hệ thống ISMS của một tổ chức bị ảnh hưởng bởi nhu cầu và mục tiêu của tổ chức, các yêu cầu an ninh, các quy trình kinh doanh được áp dụng, quy

mô và cấu trúc của tổ chức Thiết kế và hoạt động của một hệ thống ISMS cần phản ánh lợi ích và yêu cầu an toàn thông tin của tất cả các bên liên quan đến tổ chức bao gồm khách hàng, nhà cung cấp, các đối tác kinh doanh, các cổ đông và các bên thứ ba khác có liên quan

Trong một thế giới kết nối với nhau, thông tin và các quy trình liên quan, các hệ thống và mạng lưới là các tài sản kinh doanh quan trọng Tổ chức và các hệ thống thông tin cũng

như mạng lưới của họ phải đối mặt với các mối đe dọa an ninh từ một loạt các nguồn khác nhau, bao gồm gian lận máy tính, hoạt động gián điệp, phá hoại, hỏa hoạn và lũ lụt Thiệt hại cho hệ thống thông tin và mạng lưới gây ra bởi mã độc hại, tin tặc máy tính và tấn công từ chối dịch vụ đã trở nên phổ biến hơn, với nhiều tham vọng hơn và ngày càng tinh vi hơn

Hệ thống ISMS quan trọng cho các hoạt động nghiệp vụ cả khu vực công và tư Trong bất cứ ngành nào, hệ thống ISMS tạo động lực hỗ trợ thương mại điện tử và rất cần thiết cho các hoạt động quản lý rủi ro Việc kết nối các mạng công cộng và tư nhân, chia sẻ tài sản thông tin càng làm tăng khó khăn trong việc kiểm soát truy cập thông tin và xử lý thông tin Ngoài ra, việc phân tán các thiết bị lưu trữ di động có chứa tài sản thông tin có thể làm giảm hiệu quả của các biện pháp kiểm soát truyền thống Khi tổ chức áp dụng hệ thống tiêu chuẩn ISMS, họ có khả năng thể hiện việc áp dụng một cách nhất quán các nguyên tắc an toàn thông tin phù hợp tương ứng cho các đối tác kinh doanh và các bên liên quan khác

An toàn thông tin thường không phải lúc nào cũng được tính đến khi thiết kế và phát triển

hệ thống thông tin Mặt khác, an toàn thông tin thường chỉ được coi như là một giải pháp

kỹ thuật Tuy nhiên, an toàn thông tin đạt được thông qua các phương tiện kỹ thuật có những hạn chế và có thể không có hiệu quả nếu không được hỗ trợ bởi quản lý và các thủ tục phù hợp trong khuôn khổ một hệ thống ISMS Tích hợp an ninh vào một hệ thống thông tin sau khi đã triển khai thực tế có thể rất cồng kềnh và tốn kém Một hệ thống ISMS liên quan đến việc xác định các biện pháp kiểm soát nào được đưa ra và yêu cầu cần lập kế hoạch cặn kẽ, chi tiết Ví dụ, kiểm soát truy cập có thể về mặt kỹ thuật (logic), vật lý, hành chính (quản lý) hoặc kết hợp giữa chúng, sẽ cung cấp một phương tiện để đảm bảo quyền truy cập vào tài sản thông tin được hợp pháp và có giới hạn dựa trên các yêu cầu nghiệp vụ và an toàn thông tin

Việc áp dụng thành công một hệ thống ISMS là điều quan trọng để bảo vệ tài sản thông tin cho phép một tổ chức:

a) đảm bảo rằng thông tin của mình được bảo vệ đầy đủ chống lại các mối đe dọa liên tục;

b) duy trì một bộ khung tổng thể, có cấu trúc để xác định và đánh giá rủi ro an toàn thông tin, lựa chọn và áp dụng các biện pháp kiểm soát khả dụng, đo lường và cải thiện hiệu quả của chúng;

c) liên tục cải thiện môi trường kiểm soát;

d) tuân thủ pháp luật và các quy định một cách hiệu quả

(TCVN 11238:2015 (ISO/IEC 27000:2014))