Quản lý rủi ro an toàn thông tin trung tâm dữ liệu thành phố hồ chí minh

Ngoài ra, còn bao gồm các tài sản khác như tính xác thực, trách nhiệm, không thoái thác và độ tin cậy." theo ISO/IEC 27000:2009 o "Là việc bảo vệ thông tin và hệ thống thông tin khỏi các

Trang 1

ĐẠI HỌC QUỐC GIA THÀNH PHỐ HỒ CHÍ MINH

TRƯỜNG ĐẠI HỌC BÁCH KHOA

- - -

NGUYỄN THANH SƠN

QUẢN LÝ RỦI RO AN TOÀN THÔNG TIN

TRUNG TÂM DỮ LIỆU THÀNH PHỐ HỒ CHÍ MINH

CHUYÊN NGÀNH: HỆ THỐNG THÔNG TIN QUẢN LÝ

MÃ SỐ CHUYÊN NGÀNH: 60.34.48

LUẬN VĂN THẠC SĨ

TP HỒ CHÍ MINH, tháng 12 năm 2014

Trang 2

CÔNG TRÌNH ĐƯỢC HOÀN THÀNH TẠI TRƯỜNG ĐẠI HỌC BÁCH KHOA – ĐHQG - TPHCM

Thành phần hội đồng đánh giá luận văn thạc sĩ gồm:

1 TS Lê Lam Sơn (CT)

Trang 3

ĐẠI HỌC QUỐC GIA TP.HCM CỘNG HÒA XÃ HỘI CHỦ NGHĨA VIỆT NAM TRƯỜNG ĐẠI HỌC BÁCH KHOA Độc Lập - Tự Do - Hạnh Phúc

NHIỆM VỤ LUẬN VĂN THẠC SĨ

Họ và tên học viên: Nguyễn Thanh Sơn MSHV: 12321072

Ngày, tháng, năm sinh: 02/05/1983 Nơi Sinh: TPHCM

Chuyên ngành: Hệ thống thông tin quản lý Mã số: 60.34.48

I TÊN ĐỀ TÀI

Quản lý rủi ro an toàn thông tin trung tâm dữ liệu TPHCM

II NHIỆM VỤ VÀ NỘI DUNG

- Phân tích, đánh giá hiện trạng an toàn thông tin trên thế giới và tại Việt Nam hiện nay, đặc biệt là tại trung tâm dữ liệu TPHCM Tiếp theo đó, tìm hiểu các phương pháp quản lý rủi ro an toàn thông tin phổ biến hiện nay

- Tìm hiểu bộ tiêu chuẩn ISO 27000, đặc biệt là các tiêu chuẩn ISO 27001, ISO

27002 và ISO 27005

- Nghiên cứu ứng dụng tiêu chuẩn ISO 27005 để thực hiện xây dựng quy trình quản

lý rủi ro an toàn thông tin cho trung tâm dữ liệu TPHCM, từ đó đề xuất các giải pháp kiểm soát rủi ro thích hợp

III NGÀY GIAO NHIỆM VỤ: 07/07/2014

IV NGÀY HOÀN THÀNH NHIỆM VỤ: 8/12/2014

V CÁN BỘ HƯỚNG DẪN: PGS.TS Đặng Trần Khánh

Tp.HCM, ngày 8 tháng 12 năm 2014

PGS.TS Đặng Trần Khánh

Trang 4

LỜI CẢM ƠN

Trước tiên, tôi xin gởi lời cảm ơn đến các quý thầy cô trong khoa Khoa học và Kỹ thuật Máy tính của trường Đại học Bách Khoa TPHCM đã trang bị thêm cho tôi nhiều kiến thức quý báu trong thời gian học tập qua Đặc biệt, tôi xin gửi lời cảm ơn chân thành và tri ân sâu sắc nhất đến thầy Đặng Trần Khánh - giáo viên hướng dẫn trực tiếp, người đã tận tình hướng dẫn, hỗ trợ tôi trong suốt quá trình nghiên cứu và hoàn chỉnh luận văn

Cảm ơn ban lãnh đạo và các đồng nghiệp tại công ty TNHH Một thành viên Phát triển Công viên Phần mềm Quang Trung (QTSC) đã tạo điều kiện và hỗ trợ tôi rất nhiều trong suốt quá trình thực hiện luận văn

Cuối cùng, tôi xin được cảm ơn đến những người thân trong gia đình tôi đã luôn động viên và tạo mọi điều kiện tốt nhất cho tôi trong quá trình phấn đấu học tập và hoàn thành luận văn này

Một lần nữa xin trân trọng cảm ơn tất cả mọi người

TP.HCM, ngày 21 tháng 11 năm 2014

Nguyễn Thanh Sơn

Trang 5

TÓM TẮT LUẬN VĂN

Mở đầu, luận văn trình bày tóm lược về tình hình an toàn an ninh thông tin trên thế giới và tại Việt Nam, qua đó giúp người đọc có cái nhìn rõ hơn về vấn đề an toàn thông tin hiện nay Để giải quyết những vấn đề trên, song song với việc triển khai các giải pháp kỹ thuật thì luận văn muốn hướng tới các giải pháp về quản lý rủi ro an toàn thông tin

Theo đó, luận văn tiếp tục nghiên cứu về các phương pháp quản lý rủi ro an toàn thông tin đang áp dụng hiện nay, đặc biệt là tiêu chuẩn ISO 27005 trong bộ tiêu chuẩn ISO 27000

Luận văn nghiên cứu ứng dụng tiêu chuẩn ISO 27005 vào quá trình quản lý rủi ro an toàn thông tin trong trung tâm dữ liệu TPHCM đặt tại công ty TNHH MTV Phát triển CVPM Quang Trung (QTSC) dựa trên các yêu cầu đã được đề cập trong tiêu chuẩn ISO 27001 Từ kết quả trên, đề xuất một số giải pháp phù hợp nhằm giảm thiểu rủi ro cho hệ thống

Cuối cùng, hệ thống trung tâm dữ liệu TPHCM là thành phần trọng yếu trong chính quyền điện tử TPHCM đang xây dựng nên vấn đề an toàn thông tin luôn được đặt lên hằng đầu Vì thế, quá trình quản lý rủi ro an toàn thông tin hệ thống theo tiêu chuẩn ISO 27005 phải luôn được cập nhật và thực hiện theo kế hoạch định kỳ nhằm đảm bảo cho hệ thống được vận hành đúng như thiết kế, đảm bảo cung cấp các dịch vụ công tốt nhất và an toàn nhất cho người dân

Trang 6

ABSTRACT

The opening of the thesis provides a brief overview of the information safety and security in the world and in Vietnam, thereby helping the readers to have an insight into recent information security issues nowadays In parallel with the deployment of technical solutions for such issues, the thesis tends to focus on solutions of

information security risk management

Accordingly, the thesis continues to do research on information security risk management methods which are currently being applied, especially the ISO 27005 standard in ISO 27000 standards

The thesis is as well doing research on the implementation of ISO 27005 standard in the process of managing risks and information security for the data center located in Development Limited Company QTSC (QTSC), Ho Chi Minh City, based on the standards mentioned in ISO 27001 From the results withdrawn, suggesting some appropriate solutions to minimize risks to the system

Finally, since the data center is a critical part of the ongoing construction of Ho Chi Minh City electronic authority system, information security is always put on top priority Thus, the process of managing risks and information security system in accordance with ISO 27005 must be updated on a regular basis and conducted periodically to ensure that the system is being operated as designed and provides the best and safest community services for people

Trang 7

LỜI CAM ĐOAN

Tôi cam đoan rằng toàn bộ nội dung và thông tin trong luận văn do tôi tự khảo sát, thu thấp và thực hiện một cách khách quan và trung thực

Trang 8

MỤC LỤC

LỜI CẢM ƠN iii

TÓM TẮT LUẬN VĂN iv

ABSTRACT v

LỜI CAM ĐOAN vi

MỤC LỤC vii

DANH MỤC HÌNH ẢNH VÀ BẢNG BIỂU 1

TỪ ĐIỂN THUẬT NGỮ 2

CHƯƠNG 1: TỔNG QUAN VỀ ĐỀ TÀI 3

1.1 Lý do hình thành vấn đề: 3

1.2 Quản lý rủi ro an toàn thông tin: 4

1.2.1 Định nghĩa về an toàn thông tin: 4

1.2.2 Định nghĩa quản lý rủi ro: 5

1.2.3 Các phương pháp quản lý rủi ro an toàn thông tin: 6

1.3 Lý do chọn đề tài: 13

1.4 Mục tiêu của đề tài: 13

1.5 Đối tượng và phạm vi nghiên cứu: 14

1.6 Phương pháp nghiên cứu: 14

1.7 Tài nguyên sử dụng: 14

1.8 Bố cục luận văn: 14

CHƯƠNG 2: CƠ SỞ LÝ THUYẾT 16

2.1 Giới thiệu về bộ tiêu chuẩn ISO/IEC 27000: 16

2.1.1 Tiêu chuẩn ISO/IEC 27000 16

Trang 9

2.1.10 Các tiêu chuẩn thuộc ISO/IEC 27000 khác: 22

2.2 Hệ thống quản lý an toàn thông tin và các quy tắc thực hành quản lý an toàn thông tin 23

2.2.1 Giới thiệu tiêu chuẩn ISO/IEC 27001: 24

2.2.2 Các mục tiêu và biện pháp kiểm soát theo tiêu chuẩn ISO/IEC 27001: 28 2.3 Quản lý rủi ro an toàn thông tin theo tiêu chuẩn ISO/IEC 27005: 30

2.3.1 Giới thiệu: 30

2.3.2 Phạm vi: 31

2.3.3 Tổng quan về quy trình quản lý rủi ro an toàn thông tin: 32

CHƯƠNG 3: QUẢN LÝ RỦI RO AN TOÀN THÔNG TIN TRONG TRUNG TÂM DỮ LIỆU TPHCM 44

3.1 Giới thiệu về chính phủ điện tử: 44

3.1.1 Khái niệm: 44

3.1.2 Chức năng: 44

3.1.3 Mục tiêu: 45

3.2 Hệ thống trung tâm dữ liệu TPHCM đặt tại QTSC: 45

3.2.1 Giới thiệu: 45

3.2.2 Năng lực cơ sở hạ tầng và tổ chức của QTSC: 47

3.3 Quy tắc áp dụng quản lý rủi ro an toàn thông tin trung tâm dữ liệu TPHCM theo tiêu chuẩn ISO/IEC 27005: 57

3.4 Bảng quản lý, đánh giá và xử lý rủi ro tài sản thông tin trung tâm dữ liệu TPHCM: 62

CHƯƠNG 4: KẾT LUẬN VÀ KIẾN NGHỊ 76

4.1 Tóm tắt nội dung và kết quả luận văn: 76

4.2 Hướng phát triển trong tương lai: 77

PHỤ LỤC 78

PHỤ LỤC A: Danh sách các chính sách, quy trình, hướng dẫng áp dụng theo tiêu chuẩn ISO 9001 và ISO/IEC 27001 78

PHỤ LỤC B: Bảng tuyên bố áp dụng (SOA) 81

Trang 10

TÀI LIỆU THAM KHẢO 98

Trang 11

DANH MỤC HÌNH ẢNH VÀ BẢNG BIỂU

Hình 2.1: Lược đồ quy trình quản lý rủi ro

Bảng 2.2: Bảng so sánh quy trình ISMS và ISRM

Hình 2.3: Lược đồ quy trình xử lý rủi ro

Hình 3.1: Lộ trình chính quyền điện tử TPHCM

Hình 3.2: Sơ đồ tổng quan về hệ thống bảo mật QTSC

Bảng 4.1: Bảng phân loại tài sản

Bảng 4.2: Bảng phân đánh giá khả năng xảy ra rủi ro

Bảng 4.3: Bảng đánh giá mức độ tác động của ảnh hưởng

Bảng 4.4: Bảng áp dụng các biện pháp xử lý rủi ro đối với yếu tố kỹ thuật

Bảng 4.5: Bảng đề xuất xử lý rủi ro

Bảng 4.6: Bảng ma trận giữa khả năng xảy ra và mức độ tác động

Bảng 4.7: Bảng đánh giá mức độ rủi ro

Bảng 4.8: Bảng mô tả chức năng của các nhóm tài sản thông tin trọng yếu trong trung tâm dữ liệu TPHCM

Bảng 4.9: Bảng quản lý, đánh giá và xử lý rủi ro tài sản trong TTDT TPHCM

Trang 12

TỪ ĐIỂN THUẬT NGỮ

1 An toàn an ninh thông tin ATANTT Các tiêu chuẩn về an toàn an

ninh thông tin

2 Information Security Management

ISRM Hệ thống quản lý rủi ro an

toàn thông tin

4 Tổ chức tiêu chuẩn hoá quốc tế ISO Tổ chức tiêu chuẩn hoá quốc

Mã hiệu của mỗi bộ tiêu chuẩn ISO

7 Công nghệ thông tin và truyền

10 Trung tâm dữ liệu TTDT Viết tắt của Trung tâm dữ

liệu

Trang 13

CHƯƠNG 1: TỔNG QUAN VỀ ĐỀ TÀI

- An ninh an toàn thông tin đang trở thành thách thức mới trong kỷ nguyên công nghệ số ngày nay Theo đánh giá của Hiệp hội An toàn thông tin Việt Nam (VNISA), tình hình an toàn thông tin trên thế giới và ở Việt Nam trong năm 2012-2013 vẫn có bức tranh chung màu “xám” về vấn đề gia tăng số lượng mã độc và các vụ việc tấn công, làm lợi bất chính, thu thập thông tin bí mật thông qua các tấn công mạng, điển hình:

hề bị phát hiện hoặc ngăn chặn

o Tại Việt Nam:

 Trong 9 tháng đầu năm 2013, Việt Nam đã ghi nhận được hơn 1.428 trường hợp mã độc tấn công (cao hơn nhiều so với năm 2012) Ước tính hiện có khoảng 500.000 - 1.000.000 máy tính tại Việt Nam đang nằm trong các mạng máy tính “ma” quốc tế Các máy tính này có thể bị điều khiển từ xa thông qua mạng internet, đánh cắp thông tin hoặc trở thành công cụ để phát tán thư rác, đặc biệt chúng còn trở thành bàn đạp để tấn công vào các hệ thống thông tin quan trọng của quốc gia Điển hình như mạng lưới Zeus Botnet có 14.075 địa chỉ IP Việt Nam, Sality, Downadup, Trafficconverter cũng có tới 113.273 địa chỉ máy tính thuộc Việt Nam…

Trang 14

 Không chỉ nhắm tới Việt Nam với mục đích phá hoại các hệ thống thông tin, những thông tin quan trọng, có tính chất bảo mật của các cơ quan nhà nước cũng đang trở thành mục tiêu chính

 Tính đến tháng 10/2013, theo thống kê đã có 2.405 website của các cơ quan, doanh nghiệp bị tin tặc xâm nhập, đánh cắp thông tin hoặc thay đổi nội dung

 Đặc biệt vào tháng 7/2013, đối tượng tấn công đã huy động một lượng máy tính “ma” tấn công từ chối dịch vụ (DdoS) vào các trang báo điện tử phổ biến nhất như Tuổi Trẻ, VietnamNet, Dân Trí làm gián đoạn dịch vụ cung cấp thông tin cho bạn đọc trong nhiều tuần liên tiếp

- Đặc biệt, theo các báo cáo bảo mật nội bộ, tình hình an toàn thông tin tại trung tâm dữ liệu TPHCM cũng đang trở nên nóng hơn bao giờ hết:

o Trong tháng 11/2013, ghi nhận hơn 59.767 lượt dò quét và tấn công, thu thập thông tin hệ thống với nguồn tấn công chủ yếu xuất phát từ Trung Quốc (5400 lần), Mỹ (1428 lần), Việt Nam (351 lần)…

o Tấn công nhằm vào các lỗ hổng thuộc các website cổng thông tin điện

tử các Sở, Ban, Ngành, Quận, Huyện thành phố như Trang Chủ TPHCM (5.095 lượt), Thành Đoàn TPHCM (4.656 lượt), Sở Tư Pháp 4.284 lượt)…

o Đặc biệt vào tháng 3/2013, đối tượng tấn công đã vượt qua hệ thống bảo mật và lấy cắp mật khẩu hệ thống định danh Active Directory làm thất thoát nhiều thông tin quan trọng

- Trước những rủi ro về an toàn thông tin đã và đang trở thành thách thức lớn đối với chiến lược phát triển Chính quyền điện tử TPHCM nói riêng và trên toàn thế giới nói chung, một giải pháp toàn diện đang trở thành vấn đề cấp bách hiện nay Bên cạnh các giải pháp về mặt kỹ thuật, giải pháp về mặt quản lý đặc biệt

là quản lý rủi ro an toàn thông tin sẽ giúp kiểm soát cũng như hạn chế phần nhiều các rủi ro an toàn thông tin xảy ra làm ảnh hưởng đến hệ thống thông tin

1.2.1 Định nghĩa về an toàn thông tin:

Trang 15

- An toàn thông tin (Information Security) có nhiều định nghĩa theo nhiều nguồn đáng tin cậy khác nhau như:

o "Bảo đảm tính bảo mật, tính toàn vẹn và tính sẵn sàng của thông tin Ngoài ra, còn bao gồm các tài sản khác như tính xác thực, trách nhiệm, không thoái thác và độ tin cậy." (theo ISO/IEC 27000:2009)

o "Là việc bảo vệ thông tin và hệ thống thông tin khỏi các truy cập trái phép, sử dụng, tiết lộ, gián đoạn, biến đổi hoặc phá hủy để đảm bảo cung cấp tính bảo mật, tính toàn vẹn, và tính sẵn sàng." (theo CNSS, 2010)

o “Đảm bảo rằng chỉ người dùng có thẩm quyền (tính bảo mật) có thể truy cập thông tin chính xác và đầy đủ (tính toàn vẹn) khi có yêu cầu (tính sẵn sàng).” (theo ISACA, 2008)

1.2.2 Định nghĩa quản lý rủi ro:

- Theo tổ chức ISACA định nghĩa: “Quản lý rủi ro là một quá trình nhằm xác định các lỗ hổng và các mối đe dọa đến các nguồn tài nguyên thông tin được sử dụng bởi tổ chức trong mục việc đạt được mục tiêu kinh doanh, và quyết định các biện pháp đối phó, nếu có, nhằm làm giảm thiểu rủi ro ở mức có thể chấp nhận được, dựa trên giá trị nguồn tài nguyên thông tin trong tổ chức” [theo Certified Information Systems Auditor (CISA) Review Manual 2006]

- Có 2 vấn đề cần phải làm rõ ở khái niệm trên là, thứ nhất, quá trình quản lý rủi

ro là một quá trình lặp đi lặp lại liên tục một cách không có hồi kết do môi trường kinh doanh không cố định mà luôn luôn thay đổi và những mối đe dọa cũng như lỗ hổng được khai thác hàng ngày Thứ hai, việc lựa chọn phương pháp đối phó được sử dụng để quản lý rủi ro phải được cân đối với chi phí, hiệu quả và đặt biệt là giá trị của thông tin mà chúng ta cần phải bảo vệ [theo Wikipedia]

- Một khái niệm khác của tổ chức National Information Assurance Training and Education Center thì quản lý rủi ro:

o Là một quá trình tổng thể của việc chỉ ra, điều khiển, làm giảm nhẹ các tác động của những sự kiện không chắc chắn

o Là yếu tố của khoa học quản lý liên quan đến việc xác định, đo lường, kiểm soát, và giảm thiểu các sự kiện không chắc chắn Một chương trình

Trang 16

quản lý rủi ro hiệu quả bao gồm bốn giai đoạn là đánh giá rủi ro, quản lý quyết định, điều khiển thực thi và đánh giá tính hiệu quả

- Tổ chức Viện Tiêu chuẩn Quốc gia Hoa Kỳ (NIST) thì định nghĩa: “Quản lý rủi ro là quá trình cho phép các nhà quản lý CNTT đo lường, cân bằng chi phí kinh tế với chi phí cho hoạt động bảo vệ hệ thống thông tin và dữ liệu của tổ chức Quá trình này không phải là duy nhất trong môi trường CNTT mà thật sự còn thâm nhập vào mọi quyết định trong tất cả các lĩnh vực hằng ngày của cuộc sống chúng ta” [theo NIST SP 800-30 Risk Management Guide for Information Technology Systems]

1.2.3 Các phương pháp quản lý rủi ro an toàn thông tin:

- Hiện nay, có nhiều phương pháp quản lý rủi ro an toàn thông tin đang được áp dụng tùy thuộc vào lĩnh vực hoạt động kinh doanh cụ thể, điển hình như:

- COBIT (Control Objectives for Information and Related Technology)

o Là một chuẩn quốc tế về quản lý công nghệ thông tin gồm những thực hành (khung) tốt nhất về quản lý công nghệ thông tin do Hiệp hội ISACA xây dựng COBIT cung cấp cho các nhà quản lý, những người kiểm tra và những người sử dụng công nghệ thông tin một loạt các phép

đo, dụng cụ đo, các quy trình và các hướng dẫn thực hành tốt nhất để giúp họ tăng tối đa lợi nhuận thông qua việc sử dụng công nghệ thông tin và giúp họ quản lý và kiểm soát công nghệ thông tin trong công ty

o Mục đích của CBBiT là “nghiên cứu, phát triển, quảng bá và xúc tiến một tập hợp các mục tiêu kiểm soát công nghệ thông tin được chấp nhận phổ biến để các nhà quản lý doanh nghiệp và những người kiểm tra sử dụng hàng ngày”

Trang 17

 Tối ưu hóa các lợi ích của công nghệ thông tin trong khi khai thác các nguồn tài nguyên của doanh nghiệp một cách hiệu quả

 Quản lý hiệu quả các rủi ro liên quan đến công nghệ thông tin

o Phiên bản mới nhất COBIT 5 được xây dựng và mở rộng trên COBIT 4.1 bằng các tích hợp các khung, các tiêu chuẩn khác như Val IT 2.0, Risk IT, ITIL và các chuẩn ISO khác, giúp các doanh nghiệp thuộc mọi quy mô có thể:

 Duy trì thông tin chất lượng cao để hỗ trợ các quyết định kinh doanh

 Đạt được các mục tiêu chiến lược và nhận ra được các lợi ích kinh doanh thông qua sử dụng hiệu quả và sáng tạo công nghệ thông tin

 Đạt được sự xuất sắc trong các hoạt động kinh doanh thông qua ứng dụng hiệu quả công nghệ

 Duy trì các rủi ro liên quan đến công nghệ ở mức chấp nhận được

 Tối ưu hoác chi phí của các dịch vụ công nghệ thông tin và kỹ thuật

 Hỗ trợ tuân thủ các luật, quy định, thỏa thuận hợp đồng và chính sách

o Quản lý rủi ro trong COBIT 5:

 Quản lý rủi ro công nghệ thông tin hiệu quả giúp kết quả kinh doanh tốt hơn bằng cách liên kết rủi ro thông tin và rủi ro công nghệ để đạt được các mục tiêu chiến lược của doanh nghiệp

 Nguy cơ được định nghĩa là sự kết hợp của xác suất một sự kiện xảy ra và hậu quả của sự kiện đó Quản lý rủi ro trong COBIT 5 xem rủi ro công nghệ thông tin như là rủi ro kinh doanh, đặc biệt, các rủi ro kinh doanh liên quan đến việc sử dụng, sở hữu, vận hành, sự tham gia, ảnh hưởng và áp dụng công nghệ thông tin trong doanh nghiệp

 Quản lý rủi ro trong COBIT 5 mang lại các lợi ích:

Trang 18

 Giúp các nhà quản trị hiểu rõ hơn về tình trạng và rủi ro tác động đến doanh nghiệp

 Hướng dẫn cách quản lý rủi ro đối với các cấp, bao gồm

cả các nhóm biện pháp đo lường

 Hướng dẫn cách thiếp lập rủi ro văn hóa trong tổ chức

 Hướng dẫn về đánh giá rủi ro giúp các bên liên quan để xem xét chi phí phòng ngừa và các nguồn lực cần thiết khi

- OCTAVE (Operationally Critical Threat, Asset, and Vulnerability Evaluation)

o OCTAVE là một bộ các công cụ, kỹ thuật và phương pháp giúp đánh giá và lập kế hoạch rủi ro bảo mật thông tin OCTAVE được Học viện SEI phát triển nhằm để giải quyết các thách thức về tuân thủ an ninh thông tin của Bộ Quốc phòng Mỹ (DoD)

o OCTAVE sử dụng cách tiếp cận ba giai đoạn, xét các vấn đề tổ chức và công nghệ để ráp nối một bức tranh toàn diện về nhu cầu bảo mật thông tin của doanh nghiệp, bao gồm:

 Xây dựng các tập hồ sơ mối đe dọa: Đây là một đánh giá của tổ chức, mục tiêu trọng điểm cần làm rõ trong tổ chức là việc kiểm tra để xác định tài sản thông tin quan trọng, các mối đe dọa đến tài sản, các yêu cầu bảo mật của các tài sản, điều mà tổ chức hiện đang làm để bảo vệ tài sản thông tin, và điểm yếu trong chính sách tổ chức và thực hành

 Chỉ ra các lỗ hổng cơ sở hạ tầng: Đây là sự đánh giá về cơ sở hạ tầng thông tin, thành phần quan trọng của cơ sở hạ tầng công nghệ thông tin là kiểm tra điểm yếu (lỗ hổng công nghệ) mà có thể tạo ra các hành động không đươc phép

Trang 19

 Phát triển các kế hoạch và chiến lược an ninh: Rủi ro được đánh giá tại bước này, các kết quả được tạo ra ở bước trước được phân tích nhằm chỉ ra rủi ro cho doanh nghiệp và đánh giá rủi ro dựa trên tác động của chúng đối với nhiệm vụ của tổ chức

o Một số đặc điểm của phương pháp OCTAVE:

 Tự định hướng: Một nhóm nhỏ các nhân viên của tổ chức quản lý quá trình và phân tích tất cả các thông tin Do đó, nhân viên của

tổ chức đang tích cực tham gia vào quá trình ra quyết định Khi các tổ chức thuê đơn bị bên ngoài ngoài đánh giá rủi ro, họ thường không tự quyết định Họ chỉ dựa vào quyết định của các chuyên gia bên ngoài Do đó nhân viên không biết quá trình tư duy cơ bản được sử dụng bởi các chuyên gia Nếu quyết định khuyến cáo của các chuyên gia bên ngoài được thông qua mà không cần đánh giá, nhân viên của tổ chức sẽ không nắm được nguy cơ tiềm ẩn hoặc các khả năng khác nhau mà có thể có Trách nhiệm đã được chuyển sang các chuyên gia, những người không phải là trách nhiệm Kết quả là, cải tiến không được thiết lập trong tổ chức

 Đội ngũ phân tích: OCTAVE yêu cầu một nhóm phân tích để thực hiện việc đánh giá và phân tích thông tin Nhóm nghiên cứu phân tích là một đội liên ngành gồm đại diện của cả hai lĩnh vực công nghệ liên quan đến nhiệm vụ và thông tin của tổ chức Thông thường, nhóm nghiên cứu phân tích sẽ có khoảng 3-5 người, tùy thuộc vào kích thước của các tổ chức tổng thể và phạm

vi đánh giá

 Các tiếp cận dựa trên hội thảo: OCTAVE sử dụng một phương pháp tiếp cận hội thảo dựa trên thu thập thông tin và ra quyết định, trong hội thảo, nhóm phân tích sẽ khơi gợi ra cho người xem nhiều kiến thức Và do người tham gia các hội thảo đến từ nhiều cấp độ tổ chức, họ sẽ đưa ra nhiều ý kiến đóng góp cũng như thắc mắc Kết quả là việc xác định các tài sản thông tin quan

Trang 20

trọng, các mối đe dọa đến tài sản, các yêu cầu bảo mật của các tài sản, điều mà tổ chức hiện đang làm để bảo vệ

 Danh mục các thông tin: các danh mục thông tin bao gồm thứ nhất là tập hợp những chiến lược và các bài kiểm tra về an toàn điều hành, thứ hai là các hồ sơ về các mối đe dọa và cuối cùng là các danh mục về các lỗ hổng ứng dụng công nghệ Nhóm nghiên cứu sử dụng những công cụ phần mềm để kiểm tra cơ sở hạ tầng công nghệ thông tin dựa trên các danh mục để kiểm tra các điểm yếu trên các thiết bị công nghệ, các thành phần hay hệ thống của

tổ chức

- NIST (National Institute of Standards and Technology):

o Bộ tài liệu được xây dựng bởi NIST có tên NIST Special Publication 800-30 là các hướng dẫn để tiến hành đánh giá rủi ro cho hệ thống thông tin liên bang và các tổ chức Bộ tài liệu này cung cấp các hướng dẫn để thực hiện ba bước trong quá trình đánh giá rủi ro (chuẩn bị, tiến hành đánh giá và duy trì) và làm thế nào đánh giá rủi ro và quản lý rủi ro cho các tổ chức khác

o Các nội dung cơ bản:

 Đánh giá rủi ro: bao gồm các bước chỉ ra các mối quan hệ trong

hệ thống, chỉ ra các mối đe dọa, chỉ ra các lỗ hổng, phân tích các phương pháp điều khiển rủi ro, định nghĩa các khả năng và tác động của rủi ro, những khuyến nghị về điều khiển rủi ro

 Giảm nhẹ rủi ro: bao gồm các tùy chọn, các phương pháp làm giảm nhẹ rủi ro, các chiến lược làm giảm nhẹ rủi ro, khuyến nghị thực thi những điều khiển nhằm làm giảm nhẹ rủi ro, phân tích ảnh hưởng của chi phí khi thực hiện các hành động giảm nhẹ rủi

ro, phân tích các rủi ro còn lại

- ISO 31000:

o Tiêu chuẩn ISO 31000:2009 cung cấp các hướng dẫn về cách thức tổ chức quản lý rủi ro trong các tổ chức Tiêu chuẩn không chỉ tập trung vào rủi ro an ninh thông tin mà còn có thể được áp dụng cho bất kỳ loại

Trang 21

rủi ro nào bao gồm cả rủi ro về kinh doanh liên tục, thị trường, tiền tệ, tín dụng, hoạt động…

o Tiêu chuẩn cung cấp danh mục chi tiết các điều khoản quản lý rủi ro, giải thích các nguyên tắc cơ bản của quản lý rủi ro và cung cấp một khuôn khổ chung trong đó có một chu trình PDCA (lập kế hoạch, thực hiện, giám sát và cải tiến) cho quản lý rủi ro Tuy nhiên, vì có thể áp dụng cho bất kỳ loại hình tổ chức và loại rủi ro nào nên tiêu chuẩn không cung cấp phương pháp cụ thể, ví dụ như về quản lý rủi ro an ninh thông tin

o Phạm vi:

 Cung cấp các nguyên tắc và hướng dẫn chung về quản lý rủi ro

 Có thể được sử dụng bởi bất kỳ công, doanh nghiệp tư nhân hoặc cộng đồng, hiệp hội, nhóm, cá nhân Vì vậy, tiêu chuẩn không cụ thể cho bất kỳ ngành công nghiệp hoặc khu vực

 Có thể được áp dụng trong suốt cuộc đời của một tổ chức, và một loạt các hoạt động, bao gồm cả chiến lược và quyết định, hoạt động, quy trình, chức năng, dự án, sản phẩm, dịch vụ và tài sản

 Có thể được áp dụng cho bất kỳ loại rủi ro, bất cứ điều gì bản chất của nó, cho dù có kết quả tích cực hay tiêu cực

 Mặc dù tiêu chuẩn cung cấp hướng dẫn chung chung, nó không

có ý định để thúc đẩy thống nhất của quản lý rủi ro các tổ chức Việc thiết kế và thực hiện kế hoạch quản lý rủi ro và các khuôn khổ sẽ cần phải xem xét đến các nhu cầu khác nhau của một tổ chức cụ thể, mục tiêu cụ thể của nó, nội dung, cấu trúc, hoạt động, quy trình, chức năng, dự án, sản phẩm, dịch vụ, tài sản và thực hành cụ thể sử dụng

 Được sử dụng để hài hòa các quy trình quản lý rủi ro trong tiêu chuẩn hiện tại và tương lai Nó cung cấp một phương pháp phổ biến để hỗ trợ các tiêu chuẩn đối phó với rủi ro và / hoặc lĩnh vực

cụ thể, và không thay thế các tiêu chuẩn này

 Không dành cho mục đích chứng nhận

Trang 22

- Bộ tiêu chuẩn ISO/IEC 27000:

o Các yêu cầu trong bộ tiêu chuẩn ISO/IEC 27000 được xây dựng và phát triển dựa trên nền tảng các tiêu chuẩn BS 7799 của Viện Tiêu chuẩn Anh

o Từ năm 2005 đến nay, bộ tiêu chuẩn ISO/IEC 27000 liên tục được hoàn thiện để cung cấp những công cụ quản lý mang tính quốc tế, đảm bảo cho quá trình thiết lập, vận hành, giám sát, xem xét, duy trì và cải tiến hệ thống quản lý an toàn thông tin (Information Security Management System - ISMS) Bộ tiêu chuẩn ISO/IEC 27000 gồm các tiêu chuẩn sau:

 ISO/IEC 27000: quy định các vấn đề về từ vựng và định nghĩa (thuật ngữ)

 ISO/IEC 27001: các yêu cầu đối với hệ thống quản lý an toàn thông tin

 ISO/IEC 27002: qui phạm thực hành mô tả mục tiêu kiểm soát an toàn thông tin một các toàn diện và bảng lựa chọn kiểm soát thực hành an toàn tốt nhất

 ISO/IEC 27003: các hướng dẫn áp dụng cho hệ thống quản lý an toàn thông tin

 ISO/IEC 27004: đo lường và định lượng hệ thống quản lý an toàn thông tin để giúp cho việc đo lường hiệu lực của việc áp dụng hệ thống quản lý an toàn thông tin

 ISO/IEC 27005: quản lý rủi ro an toàn thông tin

 …

o Trong đó, tiêu chuẩn ISO/IEC 27005 giúp đưa ra các hướng dẫn về quản

lý rủi ro an toàn thông tin

 Tiêu chuẩn này giải thích một số khái niệm cơ bản được sử dụng trong tiêu chuẩn ISO/IEC 27001:2009 và được xây dựng để hỗ trợ cho việc triển khai hiệu quả an toàn thông tin dựa trên phương pháp quản lý rủi ro

 Tiêu chuẩn này có thể áp dụng cho nhiều loại hình tổ chức (như các doanh nghiệp thương mại, các cơ quan chính phủ, các tổ chức

Trang 23

phi lợi nhuận) nhằm mục đích quản lý những rủi ro có thể gây hại tới an toàn thông tin của tổ chức

 Là phương pháp có tính hệ thống đối với việc quản lý rủi ro an toàn thông tin là cần thiết để nhận biết được những nhu cầu của

tổ chức về những yêu cầu an toàn thông tin và tạo ra một ISMS

có hiệu quả Phương pháp quản lý rủi ro an toàn thông tin phải phù hợp với môi trường của tổ chức và đặc biệt phải phù hợp với định hướng chung về quản lý rủi ro của tổ chức Những nỗ lực an toàn thông tin cần phải giải quyết những rủi ro theo một cách thức hiệu quả và kịp thời tại địa điểm và thời điểm cần thiết Quản lý rủi ro an toàn thông tin là một bộ phận không thể thiếu của các hoạt động quản lý an toàn thông tin và có thể áp dụng cho

cả triển khai và vận hành liên tục hệ thống ISMS

- Trước những rủi ro về an toàn thông tin đã và đang trở thành thách thức lớn đối với chiến lược phát triển Chính quyền điện tử TPHCM nói riêng và trên toàn thế giới nói chung, một giải pháp toàn diện đang trở thành vấn đề cấp bách hiện nay Bên cạnh các giải pháp về mặt kỹ thuật, giải pháp về mặt quản lý đặc biệt

là quản lý rủi ro an toàn thông tin sẽ giúp kiểm soát cũng như hạn chế phần nhiều các rủi ro an toàn thông tin xảy ra làm ảnh hưởng đến hệ thống thông tin

- Dưới sự định hướng chính sách và hỗ trợ đào tạo của các cơ quan quản lý nhà nước về an toàn thông tin nên tôi quyết định lựa chọn tiêu chuẩn ISO 27005 trong bộ tiêu chuẩn ISO 27000 để quản lý rủi ro an toàn thông tin cho hệ thống trung tâm dữ liệu TPHCM

- Đề tài nghiên cứu tập trung vào các rủi ro về an toàn thông tin hiện nay và trong tương lai có thể ảnh hưởng đến hoạt động cung cấp dịch vụ công của chính phủ điện tử đối với người dân

- Dựa trên bộ chuẩn ISO 27000 và cụ thể là tiêu chuẩn ISO/IEC 27005, xây dựng quy trình quản lý rủi ro an toàn thông tin và đề xuất một số biện pháp kiểm soát rủi ro cho các tài sản thông tin quan trọng thuộc hệ thống trung tâm

Trang 24

dữ liệu TPHCM đang triển khai tại Công ty TNHH MTV Phát triển Công viên Phần mềm Quang Trung (QTSC)

- Đối tượng nghiên cứu: Các tài sản thông tin liên quan đến hệ thống trung dữ liệu TPHCM mà tôi sẽ thực hiện xây dựng quản lý rủi ro an toàn thông tin dựa theo tiêu chuẩn ISO/IEC 27005

- Phạm vi nghiên cứu:

o Địa điểm: Hệ thống trung tâm dữ liệu TPHCM đặt tại Công ty TNHH MTV Phát triển Công viên Phần mêm Quang Trung (QTSC)

o Thời gian: tháng 1/2014 đến tháng 5/2014

- Phương pháp chính được sử dụng trong luận văn này là phương pháp phân tích, dựa vào các tài nguyên thu thập được từ các nguồn đáng tin cậy và đã được chuẩn hóa Tôi ứng dụng chúng vào hệ thống trung tâm dữ liệu TPHCM nhằm xây dựng quy trình quản lý rủi ro an toàn thông tin cho hệ thống, từ đó đánh giá

và đề xuất một số phương pháp xử lý rủi ro thích hợp

- Ngoài ra, phương pháp nghiên cứu tại bàn và thu thập thông tin cũng được sử dụng trong luận văn

- Trong luận văn tôi sử dụng nguồn dữ liệu thứ cấp được thu thập thông qua:

o Hồ sơ thầu dự án liên quan đến trung tâm dữ liệu TPHCM đặt tại công

ty Phát triển Công viên Phần mềm Quang Trung (QTSC)

o Tài liệu quản trị, vận hành hệ thống trung tâm dữ liệu TPHCM

o Tài liệu liên quan về ISO/IEC 27000 thuộc Tiêu Chuẩn Quốc Gia (TCVN) và công ty DAS Certification của Vương quốc Anh cung cấp

- Và một số tài liệu thứ cấp khác như tài liệu, sách từ mạng Internet cũng được

sử dụng trong luận văn này

- Nội dung luận văn được chia thành 5 chương:

o Chương 1: Giới thiệu tổng quan về đề tài, lý do hình thành và mục tiêu

đề tài, đối tượng và phạm vi nghiên cứu, phương pháp nghiên cứu

Trang 25

o Chương 2: Trình bày cơ sở lý thuyết về bộ tiêu chuẩn ISO/IEC 27000, đặc biệt là các tiêu chuẩn ISO 27001, ISO 27002, ISO 27005 và cách thức áp dụng các tiêu chuẩn này

o Chương 3: Tìm hiểu hệ thống chính phủ điện tử, vai trò của trung tâm

dữ liệu TPHCM trong chính quyền điện tử TPHCM đặt tại QTSC

o Chương 4: Áp dụng tiêu chuẩn ISO 27005 vào xây dựng quy trình quản

lý rủi ro an toàn thông tin cho trung tâm dữ liệu TPHCM Từ kết quả đó,

đề xuất một số

o Chương 5: Tóm tắt nội dung và kết quả nghiên cứu, kết luận và kiến nghị, cuối cùng là đề cập một số hạn chế và đề xuất hướng phát triển trong tương lai

Trang 26

CHƯƠNG 2: CƠ SỞ LÝ THUYẾT

- Bộ tiêu chuẩn ISO/IEC 27000 là một phần của hệ thống quản lý chung trong tổ chức, được thực hiện dựa trên nguyên tắc tiếp cận các rủi ro trong hoạt động,

để thiết lập, áp dụng, thực hiện, theo dõi, xem xét, duy trì và cải tiến đảm bảo

an toàn thông tin của tổ chức

- Bộ tiêu chuẩn ISO/IEC 27000 ra đời đánh dấu một bước phát triển trong lĩnh vực quản lý bảo mật hệ thống thông tin Nó có thể áp dụng được cho các tổ chức với quy mô và loại hình khác nhau Việc áp dụng mô hình hệ thống quản

lý an ninh thông tin (ISMS), đánh giá các rủi ro an toàn thông tin trong tổ chức, sau đó triển khai các biện pháp quản lý an toàn thông tin sẽ giúp cho các tổ chức kiến trúc một mô hình quản lý hệ thống tiên tiến với những giải pháp an ninh tổng thể, chi phí hợp lý và hiệu quả

- Tiền thân là BS 7799 - chuẩn về an ninh thông tin do Viện Tiêu chuẩn Anh quốc (British Standard Institude) phát hành lần đầu năm 1995 Tháng 10/2000,

tổ chức Tiêu chuẩn hóa quốc tế (ISO) đã tiếp nhận BS 7799, chỉnh sửa và xuất bản dưới tên gọi ISO/IEC 17799:2000; 17799 được chỉnh sửa và bổ sung năm

2005, sau đó đổi tên thành bộ ISO/IEC 27000

- Từ năm 2005 đến nay, bộ tiêu chuẩn ISO/IEC 27000 liên tục được cập nhật và ban hành nhiều tiêu chuẩn bên trong, cụ thể:

2.1.1 Tiêu chuẩn ISO/IEC 27000

ISO/IEC 27000 - Công nghệ thông tin - Các kỹ thuật an ninh - Hệ thống quản

lý an ninh thông tin - Tổng quan và thuật ngữ

- Phiên bản hiện tại: ISO/IEC 27000:2014

Trang 27

ISO/IEC 27001 – Công nghệ thông tin – Các kỹ thuật an toàn – Hệ thống quản

lý an ninh thông tin - Các yêu cầu

- Phạm vi:

o Quy định cụ thể các yêu cầu cho việc thiết lập, triển khai, duy trì và liên tục cải tiến hệ thống quản lý an ninh thông tin trong bối cảnh của tổ chức

o Bao gồm các yêu cầu cho việc đánh giá và xử lý rủi ro an ninh thông tin phù hợp với nhu cầu của tổ chức

o Các yêu cầu đặt ra trong tiêu chuẩn có tính tổng quát và nhằm áp dụng cho mọi tổ chức, bất kể loại hình, quy mô, tính chất

- Nội dung: bao gồm các phần chính:

 Hệ thống quản lý an toàn thông tin ISMS

 Trách nhiệm của Ban quản lý

 Kiểm toán nội bộ hệ thống ISMS

 Soát xét của ban quản lý đối với hệ thống ISMS

 Cải tiến hệ thống ISMS

ISO/IEC 27002 – Công nghệ thông tin – Các kỹ thuật an toàn – Các quy tắc thực hành trong kiểm soát an toàn thông tin

- Phạm vi:

o Đưa ra hướng dẫn cho các tiêu chuẩn an ninh thông tin về tổ chức và hoạt động quản lý an ninh thông tin bao gồm các lựa chọn, thực hiện và quản lý kiểm soát có tính đến môi trường rủi ro an ninh thông tin của tổ chức

o Được thiết kế để được sử dụng bởi các tổ chức có ý định:

 Chọn điều khiển trong quá trình thực hiện một hệ thống quản lý

an ninh thông tin theo tiêu chuẩn ISO/IEC 27001

 Thực hiện kiểm soát an ninh thông tin thường được chấp nhận

 Xây dựng hướng dẫn quản lý an ninh thông tin của riêng mình

Trang 28

ro Mỗi điều gồm một số danh mục an toàn chính:

 Chính sách an toàn thông tin

 Tổ chức đảm bảo an toàn thông tin

 Quản lý tài sản

 An toàn nguồn nhân lực

 Đảm bảo an toàn vật lý và môi trường

 Quản lý truyền thông và vận hành

 Quản lý truy cập

 Tiếp nhận, phát triển và duy trì các hệ thống thông tin

 Quản lý các sự cố an toàn thông tin

 Quản lý sự liên tục của hoạt động nghiệp vụ

 Sự tuân thủ

ISO/IEC 27003 – Công nghệ thông tin – Các kỹ thuật an toàn - Hướng dẫn triển khai hệ thống quản lý an ninh thông tin

- Phạm vi:

o Tập trung vào các khía cạnh quan trọng cần thiết cho việc thiết kế thành công và thực hiện một hệ thống quản lý an ninh thông tin (ISMS)

o Mô tả các quá trình ISMS đặc điểm kỹ thuật và thiết kế từ khi thành lập

để sản xuất kế hoạch thực hiện

o Nó mô tả các quá trình có sự chấp thuận quản lý để thực hiện một ISMS, xác định một dự án để thực hiện một ISMS (trong ISO/IEC 27003:2010

là dự án ISMS), và cung cấp hướng dẫn về cách lập kế hoạch dự án ISMS, dẫn đến một kế hoạch thực hiện dự án ISMS thức

o Tiêu chuẩn này được công bố vào tháng 1/2010

Trang 29

- Nội dung: bao gồm các phần chính sau:

o Cấu trúc của tiêu chuẩn

o Khởi động dự án ISMS

o Xác định phạm vi, các giới hạn và chính sách ISMS

o Phân tích các yêu cầu an toàn thông tin

o Đánh giá rủi ro và lập kế hoạch xử lý rủi ro

o Thiết kế ISMS

ISO/IEC 27004 – Công nghệ thông tin – Các kỹ thuật an toàn - Đo lường

- Phạm vi:

o Hướng dẫn về việc phát triển và sử dụng các biện pháp và đo lường để đánh giá hiệu quả của một hệ thống quản lý an ninh thông tin thực hiện (ISMS) và các kiểm soát hoặc các nhóm kiểm soát, theo quy định tại tiêu chuẩn ISO/IEC 27001

o Có thể được áp dụng cho tất cả các loại và kích cỡ của tổ chức

- Nội dung: gồm các phần chính:

o Tổng quan về đo kiểm an toàn thông tin

o Các trách nhiệm của ban quản lý

o Phát triển các biện pháp đo lường và việc đo lường

o Triển khai đo lường

o Phân tích dữ liệu và báo cáo các kết quả

o Đánh giá và cải tiến chương trình đo lường an toàn thông tin

ISO/IEC 27005 – Công nghệ thông tin – Các kỹ thuật an toàn - Quản lý rủi ro

an toàn thông tin

- Phạm vi:

o Cung cấp hướng dẫn về quản lý rủi ro an ninh thông tin

Trang 30

o Hỗ trợ các khái niệm chung quy định trong tiêu chuẩn ISO/IEC 27001

và triển khai an toàn thông tin một cách phù hợp dựa trên phương pháp tiếp cận quản lý rủi ro

o Kiến thức về các khái niệm, mô hình, quy trình và thuật ngữ mô tả trong ISO/IEC 27001 và ISO/IEC 27002 là rất quan trọng cho một sự hiểu biết đầy đủ các tiêu chuẩn ISO/IEC 27005

o Có thể được áp dụng cho tất cả các loại của các tổ chức (ví dụ như các doanh nghiệp thương mại, cơ quan chính phủ, các tổ chức phi lợi nhuận)

mà có ý định quản lý rủi ro an ninh thông tin phù hợp với chính sách an ninh thông tin của tổ chức

o Trao đổi và tư vấn rủi ro

o Giám sát và soát xét rủi ro

ISO/IEC 27006 – Công nghệ thông tin – Các kỹ thuật an toàn - Các yêu cầu đối với các cơ quan kiểm tra và cấp chứng nhận cho hệ thống quản lý an ninh thông tin (ISMS)

- Phạm vi:

o Xác định các yêu cầu và hướng dẫn các cơ quan đánh giá và chứng nhận

hệ thống quản lý an ninh thông tin (ISMS), ngoài các yêu cầu nêu trong ISO/IEC 17021 và ISO/IEC 27001

o Chủ yếu được dùng để hỗ trợ quá trình công nhận của cơ quan cấp giấy chứng nhận ISMS

o Các yêu cầu nêu trong tiêu chuẩn cần phải được các cơ quan cung cấp chứng nhận ISMS chứng minh về năng lực và độ tin cậy

Trang 31

- Nội dung: bao gồm các nội dung chính sau:

o Các nguyên tắc

o Các yêu cầu chung

o Các yêu cầu về cấu trúc

o Các yêu cầu về nguồn lực

o Các yêu cầu về thông tin

o Các yêu cầu về quy trình

o Các yêu cầu về hệ thống quản lý đối với các cơ quan chứng nhận

ISO/IEC 27007 – Công nghệ thông tin - Các kỹ thuật an toàn – Hướng dẫn đánh giá hệ thống quản lý an ninh thông tin (ISMS)

- Phạm vi:

o Cung cấp hướng dẫn đánh giá hệ thống quản lý an ninh thông tin (ISMS) trong quá trình kiểm toán, thực hiện kiểm toán và thẩm quyền của kiểm toán viên, ngoài các hướng dẫn có trong ISO 19011

o Được áp dụng cho các kiểm toán nội bộ hoặc bên ngoài của một hệ thống ISMS hoặc để quản lý một chương trình kiểm toán ISMS

- Nội dung: Tiêu chuẩn này bao hàm các khía cạnh đặc trưng ISMS về đánh giá tuân thủ:

o Quản lý chương trình đánh giá ISMS (xác định nội dung, thời gian, cách đánh giá; phân bổ trách nhiệm phù hợp cho các đánh giá viên; quản lý rủi ro đánh giá; quản lý hồ sơ đánh giá; cải tiến quy trình đánh giá liên tục)

o Thực hiện một cuộc đánh giá ISMS (quy trình đánh giá - lập kế hoạch, thực hiện, các hoạt động đánh giá chính bao gồm điều tra, phân tích, lập báo cáo …)

o Quản lý các đánh giá viên ISMS (năng lực, kỹ năng, thái độ, làm việc) 2.1.9 Tiêu chuẩn ISO/IEC 27008

ISO/IEC 27008 - Công nghệ thông tin - Các kỹ thuật an toàn - Các hướng dẫn dành cho kiểm toán nội bộ dựa trên các kiểm soát an ninh thông tin

Trang 32

- Phiên bản hiện tại: ISO/IEC TR 27008:2011

- Phạm vi:

o Cung cấp các hướng dẫn rà soát việc thực hiện và vận hành của các kiểm soát, bao gồm kiểm tra việc tuân thủ kỹ thuật của các kiểm soát hệ thống thông tin, phù hợp với các tiêu chuẩn an toàn thông tin đã thiết lập của tổ chức

o Có khả năng áp dụng cho tất cả các loại hình và kích cỡ của các tổ chức, bao gồm cả các công ty nhà nước và tư nhân, các tổ chức chính phủ và phi lợi nhuận trong thực hiện đánh giá an ninh thông tin và kiểm tra việc tuân thủ kỹ thuật Tiêu chuẩn này không dùng để kiểm toán cho hệ thống quản lý

2.1.10 Các tiêu chuẩn thuộc ISO/IEC 27000 khác:

- Tiêu chuẩn ISO/IEC 27010 - Công nghệ thông tin - Kỹ thuật an toàn - Quản lý

an toàn thông tin cho truyền thông liên ngành và liên tổ chức

- Tiêu chuẩn ISO/IEC 27011 - Công nghệ thông tin - Các kỹ thuật an toàn - Thông tin hướng dẫn quản lý an ninh cho các tổ chức viễn thông dựa trên tiêu chuẩn ISO/IEC 27002

- Tiêu chuẩn ISO/IEC 27013 - Công nghệ thông tin - Các kỹ thuật an toàn - Hướng dẫn thực hiện tích hợp các tiêu chuẩn ISO/IEC 27001 và ISO/IEC 20000-1

- Tiêu chuẩn ISO/IEC 27014 - Công nghệ thông tin - Các kỹ thuật an toàn - Quản lý an ninh thông tin

- Tiêu chuẩn ISO/IEC 27015 - Công nghệ thông tin - Các kỹ thuật an toàn - Hướng dẫn quản lý an ninh thông tin cho các dịch vụ tài chính

- Tiêu chuẩn ISO/IEC 27031:2011 - Công nghệ thông tin - Các kỹ thuật an toàn - Hướng dẫn về công nghệ thông tin và truyền thông sẵn sàng cho kinh doanh liên tục

- Tiêu chuẩn ISO/IEC 27032:2012 - Công nghệ thông tin - Các kỹ thuật an toàn - Hướng dẫn an ninh mạng

- Tiêu chuẩn ISO/IEC 27033-1:2009 - Công nghệ thông tin - Các kỹ thuật an toàn - Bảo mật mạng - Phần 1: Tổng quan và khái niệm

Trang 33

- Tiêu chuẩn ISO/IEC 27033-2:2012 - Công nghệ thông tin - Các kỹ thuật an toàn - Bảo mật mạng - Phần 2: Hướng dẫn cho việc thiết kế và triển khai an ninh mạng

- Tiêu chuẩn ISO/IEC 27033-3:2010 - Công nghệ thông tin - Các kỹ thuật an toàn - Bảo mật mạng - Phần 3: Tài liệu tham khảo kịch bản mạng máy tính - Các mối đe dọa, kỹ thuật thiết kế và các vấn đề kiểm soát

- Tiêu chuẩn ISO/IEC 27033-4:2014 - Công nghệ thông tin - Các kỹ thuật an toàn - Bảo mật mạng - Phần 4: Bảo mật truyền thông giữa các mạng sử dụng cổng bảo mật

- Tiêu chuẩn ISO/IEC 27033-5:2013 - Công nghệ thông tin - Các kỹ thuật an toàn - Bảo mật mạng - Phần 5: Bảo mật truyền thông giữa các mạng sử dụng mạng riêng ảo (VPN)

- Tiêu chuẩn ISO/IEC 27034-1:2011 - Công nghệ thông tin - Các kỹ thuật an toàn - Bảo mật ứng dụng - Phần 1: Tông quan và khái niệm

- Tiêu chuẩn ISO/IEC 27035:2011 - Công nghệ thông tin - Các kỹ thuật an toàn - Quản lý sự cố an ninh thông tin

- Tiêu chuẩn ISO/IEC 27036-1:2014 - Công nghệ thông tin - Các kỹ thuật an toàn - An toàn thông tin trong quan hệ với nhà cung cấp - Phần 1: Tổng quan

- Tiêu chuẩn ISO/IEC 27037:2012 - Công nghệ thông tin - Các kỹ thuật an toàn - Hướng dẫn xác định, tập hợp, thu thập và bảo quản bằng chứng số

- Tiêu chuẩn ISO/IEC 27799:2008 - Thông tin y tế - Quản lý an toàn thông tin trong y tế bằng cách sử dụng tiêu chuẩn ISO/IEC 27002

toàn thông tin

Trang 34

- Trước khi đi vào quản lý rủi ro an toàn thông tin theo tiêu chuẩn ISO/IEC

27005 ta cần tham khảo thêm các kiến thức về các khái niệm, mô hình, quy trình và các thuật ngữ được trình bày trong tiêu chuẩn ISO/IEC 27001 và tiêu chuẩn ISO/IEC 27002

2.2.1 Giới thiệu tiêu chuẩn ISO/IEC 27001:

2.2.1.1 Mục tiêu:

- Tiêu chuẩn này đưa ra một mô hình cho việc thiết lập, triển khai, điều hành, giám sát, soát xét, bảo trì và nâng cấp hệ thống quản lý an toàn thông tin (ISMS) Việc phê chuẩn triển khai một hệ thống ISMS sẽ là một quyết định chiến lược của tổ chức Thiết kế và triển khai hệ thống quản lý an toàn thông tin của một tổ chức phụ thuộc vào các nhu cầu và mục tiêu khác nhau, các yêu cầu về an toàn cần phải đạt, các quy trình đang được sử dụng và quy mô, cấu trúc của tổ chức

2.2.1.2 Nội dung:

- Tiêu chuẩn xác định rõ yêu cầu cho từng quá trình: thiết lập; triển khai và vận hành; giám sát và soát xét; duy trì và cải tiến một hệ thống ISMS để bảo vệ hệ thống thông tin và chủ động chuẩn bị các phương án xử lý trước những rủi ro

có thể xảy ra Tiêu chuẩn này chỉ rõ các yêu cầu khi thực hiện các mục tiêu và biện pháp quản lý đã được chọn lọc phù hợp cho tổ chức hoặc các bộ phận

- Các yêu cầu được trình bày trong tiêu chuẩn mang tính tổng quát và nhằm ứng dụng rộng rãi cho nhiều loại hình cơ quan/tổ chức khác nhau Nội dung tiêu chuẩn bao gồm các phần chính:

o Hệ thống quản lý an toàn thông tin ISMS

o Trách nhiệm của Ban quản lý

o Kiểm toán nội bộ hệ thống ISMS

o Soát xét của ban quản lý đối với hệ thống ISMS

o Cải tiến hệ thống ISMS

- Tiêu chuẩn này hoàn toàn tương thích với các tiêu chuẩn quản lý khác như ISO 9001:2000 và ISO 14001:2004, đảm bảo sự thống nhất và thành công khi triển khai cùng lúc các tiêu chuẩn quản lý khác nhau

2.2.1.3 Phạm vi áp dụng:

Trang 35

- Tiêu chuẩn này áp dụng rộng rãi cho nhiều loại hình tổ chức (ví dụ: các tổ chức thương mại, cơ quan nhà nước, tổ chức phi lợi nhuận) Tiêu chuẩn này chỉ rõ yêu cầu đối với hoạt động thiết lập; triển khai; điều hành; giám sát; soát xét; bảo trì và nâng cấp một hệ thống quản lý an toàn thông tin (ISMS) để đảm bảo

an toàn thông tin trước những rủi ro có thể xảy ra với các hoạt động của tổ chức Tiêu chuẩn này cũng chỉ rõ các yêu cầu khi triển khai các biện pháp quản

lý an toàn đã được chọn lọc phù hợp với nhu cầu của tổ chức hoặc bộ phận của

tổ chức

- Hệ thống ISMS được thiết kế các biện pháp đảm bảo an toàn thông tin phù hợp

và đầy đủ để bảo vệ các tài sản thông tin và đem lại sự tin tưởng của các bên liên quan như đối tác, khách hàng…

2.2.1.4 Các yêu cầu chung:

- Tổ chức cần phải thiết lập, triển khai, điều hành, giám sát, soát xét, bảo trì và nâng cấp một hệ thống quản lý an toàn thông tin (ISMS) đã được tài liệu hóa trong bối cảnh các hoạt động nghiệp vụ chung của tổ chức và những rủi ro phải đối mặt Cụ thể:

o Thiết lập và quản lý hệ thống:

 Xác định phạm vi và các giới hạn của hệ thống ISMS theo các mặt: đặc thù công việc; tổ chức; địa điểm; tài sản và công nghệ Khi loại trừ các biện pháp quản lý khỏi phạm vi áp dụng cần phải đưa ra lý do và các thông tin chi tiết

 Xây dựng và hoạch định chính sách ISMS theo các mặt: đặc thù công việc; tổ chức; địa điểm; các tài sản và công nghệ

 Xác định phương pháp tiếp cận đánh giá rủi ro của tổ chức

 Xác định các rủi ro

 Phân tích và ước lượng các rủi ro

 Xác định và đánh giá các lựa chọn cho việc xử lý rủi ro

 Lựa chọn các mục tiêu quản lý và biện pháp quản lý để xử lý các rủi ro

 Trình ban quản lý phê chuẩn các rủi ro tồn đọng đã đề xuất

Trang 36

 Trình ban quản lý cho phép triển khai và vận hành hệ thống ISMS

 Chuẩn bị thông báo áp dụng

o Triển khai và điều hành hệ thống:

 Lập kế hoạch xử lý rủi ro trong đó xác định các hành động quản

lý thích hợp, các tài nguyên, các trách nhiệm và mức độ ưu tiên quản lý các rủi ro an toàn thông tin

 Triển khai kế hoạch xử lý rủi ro nhằm đạt được mục tiêu quản lý

đã xác định trong đó bao gồm cả việc xem xét kinh phí đầu tư cũng như phân bổ các vai trò, trách nhiệm

 Triển khai các biện pháp quản lý được lựa chọn để đáp ứng các mục tiêu quản lý

 Xác định cách đánh giá hiệu lực của các biện pháp quản lý hoặc nhóm các biện pháp quản lý đã lựa chọn và chỉ ra các phương pháp đánh giá này sẽ được sử dụng như thế nào trong việc đánh giá hiệu lực của các biện pháp quản lý nhằm tạo ra những kết quả

có thể so sánh được và tái tạo được

 Triển khai các chương trình đào tạo nâng cao nhận thức

 Quản lý hoạt động của hệ thống ISMS

 Quản lý các tài nguyên dành cho hệ thống ISMS

 Triển khai các thủ tục và các biện pháp quản lý khác có khả năng nhanh chóng phát hiện các sự kiện an toàn thông tin và phản ứng với các sự cố an toàn thông tin

Trang 37

sự cố đã xảy ra, các kết quả đánh giá hiệu lực, các đề xuất và thông tin phản hồi thu thập được từ các bên liên quan

 Đánh giá hiệu lực của các biện pháp quản lý để xác minh các yêu cầu về an toàn thông tin đã được đáp ứng

 Soát xét các đánh giá rủi ro đã tiến hành theo kế hoạch và soát xét các rủi ro tồn đọng cũng như mức độ rủi ro có thể chấp nhận được Trong đó lưu ý các thay đổi trong

 Thực hiện việc kiểm toán nội bộ hệ thống ISMS một cách định

kỳ

 Thực hiện soát xét của ban quản lý đối với hệ thống ISMS một cách thường xuyên để đảm bảo phạm vi đặt ra vẫn phù hợp và xác định các nâng cấp cần thiết cho hệ thống ISMS

 Cập nhật kế hoạch bảo đảm an toàn thông tin theo sát thay đổi của tình hình thực tế thu được qua các hoạt động giám sát và đánh giá

 Ghi chép, lập tài liệu về các hành động và sự kiện có khả năng ảnh hưởng đến hiệu lực hoặc hiệu suất của hệ thống ISMS

o Duy trì và nâng cấp hệ thống:

 Tổ chức cần thường xuyên thực hiện:

 Triển khai các nâng cấp đã được xác định cho hệ thống ISMS

 Tiến hành các hành động khắc phục và phòng ngừa thích hợp Vận dụng kinh nghiệm đã có cũng như tham khảo từ các tổ chức khác

 Thông báo và thống nhất với các bên liên quan về các hành động

và nâng cấp của hệ thống ISMS

 Đảm bảo việc nâng cấp phải đạt được các mục tiêu đã đặt ra 2.2.1.5 Trách nhiệm của ban quản lý

- Ban quản lý phải chứng minh cam kết của mình trong việc thiết lập, triển khai, điều hành, giám sát, soát xét, bảo trì và nâng cấp hệ thống quản lý an toàn thông tin

2.2.1.6 Kiểm toán nội bộ hệ thống ISMS

Trang 38

- Tổ chức phải thực hiện kiểm toán nội bộ hệ thống ISMS theo kế hoạch để xác định các mục tiêu quản lý, biện pháp quản lý, quy trình, thủ tục trong hệ thống ISMS có tuân thủ các yêu cầu của tiêu chuẩn này và các quy định pháp lý liên quan; có tuân thủ các các yêu cầu đảm bảo an toàn thông tin đã xác định; có được triển khai và duy trì hiệu quả hay hoạt động diễn ra đúng như mong muốn

2.2.1.7 Soát xét của ban quản lý đối với hệ thống ISMS:

- Ban quản lý phải soát xét hệ thống ISMS của tổ chức theo kế hoạch đã đặt ra (ít nhất một lần trong năm) để luôn đảm bảo tính phù hợp, đầy đủ và hiệu quả Việc soát xét này bao gồm đánh giá khả năng có thể nâng cấp và sự cần thiết phải thay đổi của hệ thống ISMS, bao gồm các chính sách an toàn thông tin và mục tiêu an toàn thông tin Kết quả của việc soát xét phải được lập thành tài liệu rõ ràng và các hồ sơ phải được lưu giữ

2.2.1.8 Nâng cấp hệ thống ISMS:

- Tổ chức phải thường xuyên nâng cao tính hiệu lực của hệ thống ISMS thông qua việc sử dụng chính sách an toàn thông tin, các mục tiêu đảm bảo an toàn thông tin, các kết quả kiểm toán, kết quả phân tích các sự kiện đã giám sát, các hành động phòng ngừa và khắc phục cũng như các kết quả soát xét của ban quản lý

2.2.2 Các mục tiêu và biện pháp kiểm soát theo tiêu chuẩn ISO/IEC 27001:

- Về cơ bản, các mục tiêu và biện pháp kiểm soát được trình bày trong tiêu chuẩn ISO 27001 và các quy tắc thực hành quản lý an toàn thông tin trình bày trong tiêu chuẩn ISO 27002 có nội dung tương ứng nhau Tiêu chuẩn ISO

27001 định ra các mục tiêu cần kiểm soát nhằm đảm bảo ATANTT nhưng chỉ dừng ở mức độ chỉ ra được mục tiêu và biện pháp kiểm soát là gì Để có thể thực hiện được các biện pháp kiểm soát đó, tiêu chuẩn ISO 27002 đưa ra các hướng dẫn chi tiết để thực hiện các biện pháp kiểm soát đó Các biện pháp kiểm soát chính:

o Chính sách bảo mật, an ninh và an toàn thông tin: bao gồm các kiểm soát về tài liệu, chính sách nhằm cung cấp định hướng cho quản lý và

Trang 39

phục vụ hỗ trợ theo yêu cầu kinh doanh, theo yêu cầu pháp luật, và theo các qui định do tổ chức ban hành

o Tổ chức nội bộ: bao gồm các cam kết, các định nghĩa, các thỏa thuận và

ủy quyền về quản lý an toàn thông tin, các phương tiện thông tin nhằm quản lý an ninh, an toàn trong nội bộ của tổ chức, công ty

o Trách nhiệm trong quản lý, bảo trì tài sản: bao gồm các điều khiển về kiểm kê, sở hữu, sử dụng tài sản nhằm duy trì, bảo vệ tài sản của tổ chức

o Phân loại thông tin: nhằm đảm bảo các loại thông tin đều được phân loại, và xác định mức độ bảo vệ an ninh, an toàn thông tin

o Các kiểm soát đối với nhân viên, nhà cung cấp và người sử dụng thuộc bên thứ 3 có thể hiểu rõ quyền hạn và trách nhiệm phù hợp với vai trò,

vị trí đang được xem xét nhằm giảm thiểu khả năng trộm cắp, gian lận, hoặc sử dụng trang thiết bị sai mục đích nhận thức được mối đe dọa bảo mật thông tin Nhận thức được sự quan tâm, trách nhiệm, và các khoản bồi hoàn của họ trong các chính sách bảo mật, an ninh, an toàn thông tin của tổ chức Và nhằm hạn chế nguy cơ các lỗi phát sinh từ con người

Và cuối cùng là kết thúc công việc của họ theo trình tự, theo qui trình

o Vùng bảo mật an toàn, an ninh thông tin: bao gồm các bảo vệ về mặt vật

lý nhằm ngăn chặn truy cập vật lý trái phép, ngăn chặn những thiệt hại, những can thiệp đến hệ thống, dịch vụ và thiết bị của tổ chức Bảo vệ thiết bị tránh mất mát, trộm cắp, hư hại, sử dụng sai mục đích tài sản của

tổ chức Tránh những tổn hại đến tài sản làm gián đoạn hoạt động của tổ chức

o Thủ tục vận hành và quy định trách nhiệm nhằm đảm bảo hoạt động chính xác, an toàn của hệ thống, dịch vụ thông tin Quản lý dịch vụ được cung cấp từ bên thứ 3 để thực hiện và duy trì các mức độ thích hợp của bảo mật, an ninh, và an toàn thông tin Đồng thời quản lý các dịch vụ được cung cấp bởi bên thứ 3, phù hợp với các thỏa thuận Lập kế hoạch cho hệ thống và phê duyệt nhằm tránh những rủi ro khi hệ thống gặp lỗi Bảo vệ chống lại mã độc hại và mã di động nhằm bảo vệ tính toàn vẹn

Trang 40

của phần mềm và của thông tin trong tổ chức Giám sát và sao lưu dữ liệu nhằm đảm bảo tính sẵn sàng của hệ thống thống thông tin

o Kiểm soát truy cập: bao gồm các kiểm soát về kiêm soát truy cập mạng, quyền truy cập nói chung về tài khoản, và trách nhiệm của người sử dụng tài khoản, mật khẩu, thiết bị, dịch vụ,…nhằm làm giảm thiểu các truy cập không được phép

o Những yêu cầu bảo mật, an ninh an toàn cho hệ thống thông tin bao gồm: sử dụng những ứng dụng xử lý thông tin, kiểm soát mã hóa thông tin, bảo vệ an toàn các tập tin hệ thống, quản lý các lỗ hổng kỹ thuật nhằm đảm bảo bảo mật, an ninh, an toàn thông tin được tích hợp trong các hệ thống thông tin

o Báo cáo các bảo mật thông tin, các sự kiện và các điểm yếu nhằm đảm bảo an ninh thông tin, các sự kiện, các điểm yếu liên quan đến hệ thống được báo cáo kịp thời để thực hiện kịp thời các biện pháp khắc phục

o Các khía cạnh bảo mật thông tin trong đảm bảo kinh doanh liên tục nhằm đảm bảo hoạt động kinh doanh liên tục, và bảo vệ qui trình kinh doanh khỏi những tác động từ các lỗi hệ thống lớn, từ thiên tai, từ môi trường,

o Và cuối cùng là tuân thủ các yêu cầu về pháp luật nhằm tránh các vi phạm pháp luật, các điều lệ, các qui định của tổ chức Đảm bảo thực hiện đúng cam kết trong các hợp đồng kinh doanh, và đáp ứng các yêu cầu đầy đủ về bảo mật

2.3.1 Giới thiệu:

- Tiêu chuẩn này cung cấp các hướng dẫn (guidelines) về quản lý rủi ro an ninh thông tin trong tổ chức và hỗ trợ đặc biệt cho các yêu cầu của một hệ thống quản lý an ninh thông tin (ISMS) theo tiêu chuẩn ISO/IEC 27001 Tuy nhiên, tiêu chuẩn này không cung cấp bất kỳ phương pháp cụ thể để quản lý rủi ro an ninh thông tin Tùy thuộc vào tổ chức để xác định phương pháp tiếp cận để quản lý rủi ro, phụ thuộc vào phạm vi của ISMS, bối cảnh của quản lý rủi ro,

Định dạng
Số trang	110
Dung lượng	1,41 MB