Bảo vệ dữ liệu hệ thống một cửa điện tử trên nền tảng điện máy đám mây

TÓM TẮT LUẬN VĂN Mục đích của luận văn giúp các đơn vị hành chính công tại Thành Phố Hồ Chí Minh và thậm chí là các doanh nghiệp trong nước có cái nhìn tổng quan về việc áp dụng công ngh

-

NHIÊU BẠCH NHỰT

BẢO VỆ DỮ LIỆU HỆ THỐNG MỘT CỬA

ĐIỆN TỬ TRÊN NỀN TẢNG ĐIỆN TOÁN ĐÁM MÂY

Chuyên ngành: Hệ Thống Thông Tin Quản Lý (60 34 48)

LUẬN VĂN THẠC SĨ

TP HCM – 2013

-

NHIÊU BẠCH NHỰT

BẢO VỆ DỮ LIỆU HỆ THỐNG MỘT CỬA

ĐIỆN TỬ TRÊN NỀN TẢNG ĐIỆN TOÁN ĐÁM MÂY

CHUYÊN NGÀNH: HỆ THỐNG THÔNG TIN QUẢN LÝ

MÃ SỐ CHUYÊN NGÀNH: 60.34.48

LUẬN VĂN THẠC SĨ

Hướng Dẫn Khoa Học PGS TS ĐẶNG TRẦN KHÁNH

CÔNG TRÌNH ĐƯỢC HOÀN THÀNH TẠI TRƯỜNG ĐẠI HỌC BÁCH KHOA ĐẠI HỌC QUỐC GIA TP HỒ CHÍ MINH

ĐẠI HỌC QUỐC GIA TPHCM CỘNG HÒA XÃ HỘI CHỦ NGHĨA VIỆT NAM

TRƯỜNG ĐẠI HỌC BÁCH

KHOA

Độc Lập – Tự Do - Hạnh Phúc

Tp HCM, ngày 18 tháng 07 năm 2013

NHIỆM VỤ LUẬN VĂN THẠC SĨ

Họ tên học viên: NHIÊU BẠCH NHỰT MSHV: 09320847

Ngày, tháng, năm sinh: 29/06/1982 Nơi sinh: TPHCM

Chuyên ngành: Hệ thống thông tin quản lý Mã số: 60.34.48

I Tên đề tài:

Bảo vệ dữ liệu hệ thống một cửa điện tử trên nền tảng điện toán đám mây

II Nhiệm vụ và nội dung:

- Phân tích hiện trạng an toàn an ninh thông tin tại Việt Nam và đặt biệt là hệ thống một cửa điện tử được triển khai trên nền tảng điện toán đám mây

- Tìm hiểu các tiêu chuẩn an toàn thông tin ISO 27001, ISO 27002 và ISO27005

- Trường hợp nghiên cứu điển hình: sử dụng ISO 27005 đánh giá rủi ro an toàn an ninh thông tin của hệ thống một cửa điện tử triển khai trên nền tảng điện toán đám mây, đề xuất hướng giải quyết, khắc phục dựa trên các tiêu chuẩn an toàn 27002

III Ngày giao nhiệm vụ: 02/07/2012

IV Ngày hoàn thành nhiệm vụ: 21/06/2013

V Cán bộ hướng dẫn: PGS TS ĐẶNG TRẦN KHÁNH

Cán bộ hướng dẫn Bộ môn quản lý chuyên ngành Khoa quản lý chuyên ngành

PGS TS ĐẶNG TRẦN KHÁNH PGS TS ĐẶNG TRẦN KHÁNH

LỜI CẢM ƠN

Trước tiên, em xin chân thành gởi lời cảm ơn đến Quý Thầy Cô trong khoa Khoa học và Kỹ thuật Máy tính của trường Đại học Bách Khoa TPHCM

đã trang bị cho em nhiều kiến thức quý báu trong thời gian qua

Em xin gửi lời cảm ơn chân thành và sâu sắc đến thầy Đặng Trần Khánh – Giáo viên hướng dẫn trực tiếp, người đã tận tình hướng dẫn, hỗ trợ em trong suốt quá trình nghiên cứu và hoàn chỉnh luận văn

Xin cảm ơn ban lãnh đạo và các đồng nghiệp Công ty TNHH Một thành viên Phát triển Công Viên Phần Mềm Quang Trung đã tận tình hỗ trợ và tạo mọi điều kiện cho tôi trong suốt quá trình thực hiện luận văn này

Cuối cùng tôi xin được cảm ơn đến bạn bè gần xa, cảm ơn những người thân trong gia đình tôi đã luôn động viên và tạo mọi điều kiện tốt nhất cho tôi trong quá trình phấn đấu và học tập

Xin cảm ơn tất cả mọi người

NHIÊU BẠCH NHỰT

TÓM TẮT LUẬN VĂN

Mục đích của luận văn giúp các đơn vị hành chính công tại Thành Phố Hồ Chí Minh và thậm chí là các doanh nghiệp trong nước có cái nhìn tổng quan về việc áp dụng công nghệ thông tin vào công tác quản lý hành chính mà doanh nghiệp dự định triển khai và nhận diện được các rủi ro khi triển khai hệ thống công nghệ thông tin vào mô hình quản lý hành chính, quản lý doanh nghiệp

Mở đầu luận văn bằng các giới thiệu về các hệ thống hành chính công điện tử tại Thành Phố Hồ Chí Minh cụ thể là hệ thống Một cửa điện tử và hệ thống Điện toán đám mây mà hệ thống Một cửa điện tử được xây dựng trên đó Tiếp theo, các nghiên cứu về các chuẩn an toàn an ninh thông tin 27005 sẽ đánh giá được các rủi

ro của hệ thống Một cửa điện tử dựa vào các tiêu chí đánh giá được đề cập trong

bộ tiêu chuẩn ISO 27001 Từ các kết quả đánh giá đó, áp dụng bộ tiêu chuẩn ISO

27002 đưa ra các biện pháp nhằm giảm thiểu rủi ro

Và cuối cùng, hệ thống Một cửa điện tử là một thành phần trong hệ thống chính phủ điện tử và được thí điểm đầu tiên tại Thành Phố Hồ Chí Minh, do đó, luận văn này xác định và đề xuất hướng nghiên cứu trong tương lai đối với hệ thống chính phủ điện tử triển khai trên nền điện toán đám mây

ABSTRACT

The main purpose of the thesis helps the public government departments in Ho Chi Minh City and firms have a general overview of apply information technology into the management of their business Another purpose is to identify the risk when implementing information technology system to manage the business

In the beginning of the thesis, I introduce about some model of public electronic government in Ho Chi Minh City and specially, a One-Gate System, and Cloud Computing System that the One-Gate System is built on Next, some research on standard of information security ISO 27005, estimate the risk of One-Gate System that base on the criteria in ISO 27001 From the results of this assessment, the application of

an ISO 27002 standards to put forth measures to mitigate risks

Finally, One-Gate System is a one of component of the e-government system and this system is the first pilot model in Ho Chi Minh City, so this thesis determine the future research direction of e-government systems deployed on the cloud computing system

MỤC LỤC

DANH MỤC HÌNH ẢNH VÀ BẢNG BIỂU viii

TỪ ĐIỂN THUẬT NGỮ ix

I TỔNG QUAN VỀ ĐỀ TÀI 1

1.1 Hình thành vấn đề 1

1.1.1 Thế giới 1

1.1.2 Trong nước 6

1.1.3 Lý do chọn đề tài 7

1.2 Phạm vi và câu hỏi nghiên cứu 9

1.2.1 Phạm vi nghiên cứu 9

1.2.2 Câu hỏi nghiên cứu 10

1.2.3 Thời gian thực hiện 11

1.3 Mục tiêu của đề tài 11

1.4 Ý nghĩa và đóng góp của đề tài 12

1.4.1 Ý nghĩa của đề tài 12

1.4.2 Đóng góp của đề tài 12

1.5 Phương pháp nghiên cứu 13

1.5.1 Phương pháp nghiên cứu áp dụng 13

1.5.2 Tài nguyên sử dụng 14

1.6 Kết cấu của luận văn 14

II CƠ SỞ LÝ THUYẾT 15

2.1 Bộ tiêu chuẩn về an toàn thông tin ISO 27XXX 15

2.1.1 Tiêu chuẩn ISO/IEC 27000 16

2.1.2 Tiêu chuẩn ISO/IEC 27001 16

2.1.3 Tiêu chuẩn ISO/IEC 27002 17

2.1.4 Tiêu chuẩn ISO/IEC 27003 18

2.1.5 Tiêu chuẩn ISO/IEC 27004 19

2.1.6 Tiêu chuẩn ISO/IEC 27005 19

2.1.7 Tiêu chuẩn ISO/IEC 27006 20

2.1.8 Tiêu chuẩn ISO/IEC 27007 21

2.1.9 Tiêu chuẩn ISO/IEC 27008 21

2.1.10 Tiêu chuẩn ISO/IEC 27010 21

2.1.11 Tiêu chuẩn ISO/IEC 27011 22

2.1.12 Tiêu chuẩn ISO/IEC 27031 22

2.1.13 Tiêu chuẩn ISO/IEC 27033-1 22

2.1.14 Tiêu chuẩn ISO/IEC 27034 22

2.1.15 Tiêu chuẩn ISO/IEC 27035 22

2.1.16 Tiêu chuẩn ISO/IEC 27799 23

2.2 ISMS và các quy tắc thực hành quản lý an toàn thông tin (ISO 27001, ISO 27002) 23 2.2.1 Giới thiệu bộ tiêu chuẩn ISO 27001 23

2.2.2 Phạm vi áp dụng ISO 27001 23

2.2.3 Các yêu cầu của ISMS ISO 27001 24

2.2.4 Trách nhiệm của lãnh đạo đối với việc thực hiện an toàn thông tin ISO 27001 25 2.2.5 Kiểm toán nội bộ hệ thống ISMS 25

2.2.6 Soát xét hệ thống ISMS định kỳ 25

2.2.7 Cải tiến hệ thống ISMS 25

2.2.8 Các mục tiêu và biện pháp kiểm soát ISO 27001 26

2.3 Kỹ thuật an toàn và quản lý rủi ro an toàn thông tin, giới thiệu bộ tiêu chuẩn ISO 27005 28

2.3.1 Khái niệm về quản lý rủi ro 28

2.3.2 Các phương pháp quản lý rủi ro an toàn thông tin 29

2.3.3 Quy trình quản lý rủi ro an toàn thông tin ISO 27005 32

2.4 Hiện trạng an toàn, an ninh thông tin tại Việt Nam 38

III HỆ THỐNG MỘT CỬA ĐIỆN TỬ VÀ HIỆN TRẠNG AN TOÀN AN NINH CỦA HỆ THỐNG MCĐT 40

3.1 Giới thiệu hệ thống CPĐT 40

3.1.1 Sự ra đời của CPĐT 40

3.1.2 Khái niệm về CPĐT 41

3.1.3 Sự khác nhau giữa CPĐT và chính phủ truyền thống 44

3.2 Giới thiệu hệ thống Một cửa điện tử tại TPHCM 46

3.2.1 Giới thiệu hệ thống MCĐT 46

3.2.2 Chức năng hoạt động 47

3.2.3 Mô hình hệ thống MCĐT tại TPHCM 49

3.2.4 Một số thành công và hạn chế 49

3.3 Điện toán đám mây 51

3.3.1 Lý thuyết về Điện toán đám mây 51

3.3.2 Giá trị cốt lõi của ĐTĐM trong MCĐT 53

3.3.3 Áp dụng ĐTĐM cho hệ thống MCĐT tại QTSC 54

IV ĐÁNH GIÁ AN TOÀN AN NINH THÔNG TIN TRÊN HỆ THỐNG MCĐT

VÀ ĐỀ XUẤT BIỆN PHÁP 57

4.1 Thực trạng ATANTT của hệ thống MCĐT tại TPHCM 57

4.2 Sử dụng bộ tiêu chuẩn ISO 27005 để đánh giá rủi ro an toàn thông tin trên hệ thống MCĐT 64

4.3 Đề xuất biện pháp xử lý rủi ro 68

4.4 Áp dụng các biện pháp đề xuất vào hiện trạng an toàn an ninh hệ thống MCĐT tại TPHCM và đánh giá kết quả 69

4.4.1 Áp dụng biện pháp xử lý và phân tích 69

4.4.2 Kết quả sau đánh giá 79

4.4.3 Những trường hợp chưa đánh giá của hệ thống 81

V KẾT LUẬN VÀ KIẾN NGHỊ 82

5.1 Kết luận và kiến nghị 82

5.2 Hướng phát triển trong tương lai 83

TÀI LIỆU THAM KHẢO 85

PHỤ LỤC a Phụ lục A a Phụ lục B b

Phụ lục C k

DANH MỤC HÌNH ẢNH VÀ BẢNG BIỂU

Hình 1.1: Hệ thống CPĐT của Singapore 5

Hình 3.1: Lộ trình triển khai CPĐT tại TPHCM 43

Hình 3.2: Mô hình của hệ thống CPĐT 46

Hình 3.3: Mô hình hệ thống MCĐT tại TPHCM 49

Hình 3.4: Kiến trúc ĐTĐM 55

Bảng 4.1: Bảng phân loại tài sản 65

Bảng 4.2: Bảng phân đánh giá khả năng xảy ra rủi ro 67

Bảng 4.3: Bảng đánh giá mức độ tác động của ảnh hưởng 68

Bảng 4.4: Bảng áp dụng các biện pháp xử lý rủi ro đối với yếu tố kỹ thuật 75

Bảng 4.5: Bảng đề xuất xử lý rủi ro 78

TỪ ĐIỂN THUẬT NGỮ

1 Thành phố Hồ Chí Minh TPHCM Viết tắt tên Thành Phố Hồ

Chí Minh

2 Điện toán đám mây ĐTĐM Điện toán đám mây

3 Một cửa điện tử MCĐT Hệ thống Một cửa điện tử

6 Information Technology IT Công nghệ thông tin

ISO/IEC Mã hiệu của mỗi bộ tiêu

QTSC Tên công ty

12 Cơ sở dữ liệu CSDL Viết tắt của cơ sở dữ liệu

13

Information Security Management System ISMS

Hệ thống quản lý an toàn thông tin

14 Công nghệ thông tin CNTT

15

Instrument Protection System/Instrument IPS/IDS

Hệ thống giám sát và phòng chống tấn công

Detection System

- Hào hứng và lo lắng là 2 viễn cảnh của khách hàng đối với ĐTĐM, họ hào hứng bởi do cơ hội tiết kiệm được nhiều loại chi phí, cơ hội để giảm bớt gánh nặng trong việc quản lý cơ sơ hạ tầng để thay vào đó là việc tập trung nhiều vào tăng cao năng suất trong việc khai thác triệt để năng lực cốt lỗi của hệ thống Hầu hết khách hàng mong đợi vào tốc độ triển khai ứng dụng

để thích ứng với các chiến lược kinh doanh và các nhu cầu ngày càng mở rộng, tuy nhiên, họ cũng tỏ ra lo lắng về những rủi ro mà ĐTĐM mang lại

đó là chính vì sự tự động hóa, tốc độ triển khai nhanh dẫn đến thiếu sót những cơ chế bảo mật cũng như sự mất kiểm soát vào hệ thống mà họ có trách nhiệm thực thi Chính vì lẽ đó, nhiều tổ chức đã nghiên cứu và đưa ra những giải pháp để hỗ trợ khách hàng cũng như chính nhà cung cấp dịch vụ ĐTĐM Cloud Security Alliance (CSA), một tổ chức phi lợi nhuận với một nhiệm vụ thúc đẩy việc sử dụng những cơ chế tốt nhất nhằm cung cấp các đảm bảo an toàn trong ĐTĐM, đã nghiên cứu và phát triển bộ “Hướng dẫn bảo mật cho các vấn đề thiếu an toàn trong ĐTĐM”, thành lập vào tháng 04 năm 2009 , cho đến nay bộ tài liệu này đã trở thành bột tài liệu chuẩn công nghệ về các vấn đề an toàn bảo mật trong ĐTĐM và đã được nhiều tổ chức trên thế giới quan tâm sử dụng để quản lý chiến lược ĐTĐM Một trong những nghiên cứu đã chỉ ra các rủi ro sẵn có khi triển khai hệ thống ĐTĐM

nhằm cung cấp thông tin cho các nhà đầu tư trong việc tính toán rủi ro khi quyết định các chiến lược Cloud của họ, những rủi ro bao gồm :

o Lạm dụng, sử dụng ĐTĐM trong các mục tiêu bất chính

o Những giao diện lập trình ứng dụng không an toàn

o Rủi ro đến từ bên trong

o Lỗ hổng công nghệ bị chia sẽ

o Rò rỉ/mất dữ liệu

o Các tài khoản, dịch vụ và dữ liệu bị chiếm đoạt

o Không quản lý những hồ sơ nặc danh

- Ứng dụng ĐTĐM vào hệ thống CPĐT tại Thái Lan:

o The Electronic Government Agency hay còn gọi tắt là EGA là một tổ chức với trách nhiệm thúc đẩy và hỗ trợ sự phát triển của các dịch vụ CPĐT Được thành lập vào năm 2011, EGA điều hành và quản lý bởi

Bộ Thông Tin và Truyền Thông Thái Lan Tại thời điểm khởi đầu, EGA được Cơ quan Phát triển Công nghệ và Khoa học Quốc gia Thái Lan chuyển giao một số dự án đáng kể, đến năm 2012 EGA tiếp tục phát triển các dự án đó cùng với nhận được thêm nhiều dự án về hỗ trợ quá trình phát triển của CPĐT nước này

o Dự án về mạng thông tin chính phủ: một dự án nhằm loại bỏ được những lãng phí công khi xây dựng hệ thống cho từng cơ quan chính phủ, khuyến khích các tổ chức chính phủ sử dụng hệ thống mạng trung tâm theo chính sách hệ thống mạng trung tâm chính phủ Cho đến thời điểm hiện nay, 1199 cơ quan chính phủ của Thái lan từ cấp

Bộ, Sở, cấp tỉnh và địa phương đã được kết nối với hệ thống mạng trung tâm này Hệ thống mạng an ninh chính phủ này có thể hỗ trợ việc đảm bảo an ninh thông tin và chuyển đổi dữ liệu an toàn cho các

o Dự án hệ thống Email chính phủ (Mailgo Thai) : hệ thống thư điện tử

để thông tin liên lạc trong khu vực nhà nước: nhằm khuyến khích các quan chức chính phủ và nhân viên sử dụng e-mail trên các hệ thống

an toàn có trụ sở tại Thái Lan Dự án cũng giúp tăng cường cơ sở hạ tầng và tăng cường an ninh thông tin Hiện nay, có khoảng 360 tên miền đang chạy trên hệ thống MailGoThai, bao gồm 183.586 tài khoản e-mail Một số tổ chức chính phủ đang chạy trên hệ thống e-mail này là Văn phòng Công Ủy ban Phát triển Khu vực (opdc.go.th), Văn phòng thư ký thường trực của Bộ Y tế (health.moph.go.th), Toà

án công lý (coj.go.th), và Ủy ban bầu cử Thái Lan (ect.go.th)…

o Ngoài ra, còn có một số dự án đáng kể như Dự án về hệ thống giám sát chính phủ, Dự án về hệ thống E-portal của chính phủ và đáng quan tâm là Dự án về dịch vụ Cloud của Chính phủ, mục đích chính của dự án Cloud Chính phủ là giảm thiểu những ngân sách lặp đi lặp lại nhằm đầu tư vào các công trình CNTT quốc gia, đảm bảo đầu ra của việc đầu tư và tối ưu hóa việc chia sẽ tài nguyên CNTT Được phát động vào ngày 01 tháng 05 năm 2012, cho đến nay, hệ thống này

đã phục vụ 33 tổ chức chính phủ với 58 hệ thống liên quan

- Như vậy, tại sao lại áp dụng ĐTĐM vào hệ thống CPĐT, EGA nêu rõ :

o Thứ nhất là về vấn đề ngân sách dành cho CNTT

o Thứ hai là về những yếu kém về trình độ CNTT của người sử dụng

o Thứ ba là những khuyết điểm về cơ sở hạ tầng CNTT như hệ thống

an ninh thông tin, hệ thống sao lưu dự phòng, hệ thống điều hòa…

o Và cuối cùng, một lý do không thể thiếu khi đầu tư vào một lĩnh vực nào đó, đó là sự ủng hộ, tán thành của hệ thống quản lý chính phủ Thái lan

- Ứng dụng ĐTĐM vào hệ thống CPĐT tại Singapore:

o Lộ trình phát triển CPĐT của Singapore đã bắt đầu vào những năm

80 với mục tiêu đưa chính phủ vào tầm đẳng cấp thế giới về CNTT Chương trình Máy tính hoá dịch vụ dân sự có chức năng làm việc tự

động và giảm các công việc hành chính giấy tờ, dành thời gian, công việc cho những dự toán nội bộ hiệu quả hơn

o Cuối những năm 90 chứng kiến sự hội tụ của CNTT và viễn thông mà

đã làm thay đổi các quan niệm về cung cấp dịch vụ Điều này đã mở đường cho sự ra mắt của Kế hoạch hành động CPĐT lần I (2000 - 2003) và kế hoạch hành động CPĐT lần II (2003 - 2006) Mục tiêu chính của kế hoạch đầu tiên là tung ra càng nhiều dịch vụ công trực tuyến càng tốt, trong khi trọng tâm của kế hoạch thứ hai là nâng cao trải nghiệm dịch vụ của khách hàng

o Một kế hoạch tổng thể về chính phu điện tử (có tên là iGOV master plan 2006 - 2010) được xây dựng trên nền tảng vững chắc và tập trung vào việc tạo ra một chính phủ công nghệ tích hợp hoạt động liên tục dưới lớp vỏ của chính phủ thuần túy nhằm phục vụ tốt hơn cho người dân

o Hiện nay, CNTT đã trở thành một phần thiết yếu cho hành chính công

và cung cấp dịch vụ tại Singapore Là kết quả của những nỗ lực CPĐT, Singapore đã liên tục được công nhận là tiên phong trong nghiên cứu chuẩn quốc tế lớn Nỗ lực sáng tạo trong việc sử dụng CNTT cũng đã thu hút được nhiều giải thưởng trong nước và trên toàn thế giới Quan trọng hơn, người dân và các doanh nghiệp của Singapore đã chấp nhận CPĐT Trong năm 2010, gần như 9 trong số

10 người dân và các doanh nghiệp bày tỏ sự hài lòng với chất lượng tổng thể của dịch vụ CPĐT

- Một trong 4 chương trình hành động cho chính phủ, xây dựng hệ thống CPĐT trên nền tảng ĐTĐM, ở đây gọi là đám mây chính phủ ( Government Cloud , viết tắt là G-Cloud) Nội dung chương trình có thể kể đến:

o Về mục tiêu : mục tiêu của G-Cloud nhằm cung cấp môi trường CNTT chia sẽ an toàn, nó cho phép các tổ chức chính phủ có thể mua sắm, yêu cầu tài nguyên CNTT theo yêu cầu và phải được đáp ứng

o Về nội dung: chính phủ Singapore hiểu rằng, mỗi một mô hình ĐTĐM cung cấp mức độ lợi ích và các cam kết cho riêng mô hình đó, chính như vậy, việc xây dựng một chiến lược ĐTĐM phù hợp cho chính phủ bằng cách xem xét các nhu cầu trong từng trường hợp để

áp dụng một cách tiếp cận đa mô hình ĐTĐM bao gồm: tận dụng khả năng thương mại trên mô hình ĐTĐM công cộng để hưởng những lợi ích từ nguồn tài nguyên chí phí thấp, triển khai hệ thống ĐTĐM riêng cho toàn bộ hệ thống chính phủ nhằm đảm bảo tính an toàn trong hệ thống mà ĐTĐM công cộng không thể có được

Hình 1.1: Hệ thống CPĐT của Singapore

[Nguồn : http://www.egov.gov.sg/about-egov-introduction]

o Chương trình triển khai chi tiết hệ thống CPĐT trên nền tảng ĐTĐM đảm bảo G-Cloud sẽ cung cấp các nguồn tài nguyên ĐTĐM hiệu quả, khả năng mở rộng và linh hoạt và sẽ được thiết kế để đáp ứng mức độ khác nhau của các yêu cầu bảo mật và quản trị, bao gồm 3 mức High Assurance Zone, Medium Assurance Zone, Basic Assurance Zone với

3 mức độ đảm bảo khác nhau về cung cấp dịch vụ an toàn Mục tiêu

xa hơn là làm sao tổng hợp được tất cả các nhu cầu của toàn chính phủ nhằm tối thiểu hóa chi phí đầu tư, lúc đó chính phủ sẽ xác định

và cung cấp ứng dụng theo mô hình phần mềm như dịch vụ (Sofware

as a service - SaaS) như các phần mềm mà nhiều, rất nhiều tổ chức chính phủ sử dụng như ứng dụng phân tích kinh doanh, ứng dụng quản lý khách hàng, quản lý nội dung web, được triển khai trên G-Cloud

- Dự kiến mô hình này triển khai vào tháng 2 năm 2013

1.1.2 Trong nước

- Năm 2012 được coi là năm của ĐTĐM khi nhiều doanh nghiệp đã và đang đưa ra các chiến lược cụ thể sử dụng nền tảng ĐTĐM, tuy nhiên các doanh nghiệp vẫn dè dặt trong việc lựa chọn đầu tư công nghệ đám mây khi vấn đề bảo mật vẫn chưa được các hãng đưa ra một cách triệt để Trong khi đó các dịch vụ trực tuyến đang dần trở thành một xu hướng của cả hai khối chính phủ và doanh nghiệp, chính phủ cũng đang tích cực đẩy mạnh đầu tư vào những dự án công trực tuyến như hộ chiếu, thuế…Trong bối cảnh đó, làm thế nào để hiện đại hóa hạ tầng công nghệ của tổ chức, đáp ứng được các nhu cầu cung cấp dịch vụ, tăng lợi thế cạnh tranh, vừa đảm bảo an toàn thông tin, bảo vệ các thông tin bảo mật của doanh nghiệp đang là một bài toán hóc búa dành cho doanh nghiệp cũng như của các cơ quan chính phủ Như vậy công nghệ ĐTĐM được chính phủ cân nhắc áp dụng triển khai nhưng vấn đề bảo vệ dữ liệu vẫn là bài toán tối quan trọng mà chính phủ cân nhắc khi áp dụng

- Các ngày 21 -23/03/2012 vừa qua tại Hà Nội, sự kiện Hội thảo – Triển lãm Quốc gia ĐTĐM và An ninh bảo mật 2012 (Cloud Computing & Security World) do Bộ Thông Tin Truyền Thông, Bộ Công an, Bộ Quốc phòng cùng Tập đoàn dữ liệu Quốc tế (IDG) phối hợp tổ chức đã diễn ra với chủ đề “An ninh bảo mật và Hiện đại hóa xã hội: Tạo dựng niềm tin, thúc đẩy sử dụng các dịch vụ xã hội hiện đại”, trong đó có chuyên đề chính ĐTĐM World

2012 bên cạnh chuyên đề triển khai CPĐT và vấn đề bảo mật, đã đưa ra

giải pháp ứng dụng ĐTĐM hiệu quả cho cả hai khối Chính phủ và doanh nghiệp

- Cho đến thời điểm hiện nay, các nghiên cứu về bảo mật dữ liệu, bảo mật về

hệ thống đã xuất hiện khá nhiều nhưng bảo mật hệ thống ĐTĐM vẫn là rào cản lớn nhất quyết định liệu ĐTĐM có là công nghệ máy tính mới là ứng dụng tương lai của doanh nghiệp Trung tâm an ninh mạng BKIS cũng đã bắt tay vào nghiên cứu hệ thống ĐTĐM với lợi ích đã nhìn thấy được như tăng tập mẫu nhận diện virus từ 4 triệu lên 6,4 triệu, công nghệ ĐTĐM sẽ tiếp tục được nghiên cứu và ứng dụng trong những sản phẩm tiếp theo của đơn vị này Ông Vũ Ngọc Sơn - Giám đốc bộ phận nghiên cứu, Công ty Bkis cho biết: "Lợi ích của công nghệ ĐTĐM mang lại rất lớn Về phía nhà cung cấp dịch vụ chúng tôi có thể mở rộng hệ thống, cập nhật mẫu virus Về phía người sử dụng, khi BKAV triển khai công nghệ ĐTĐM vào người sử dụng sẽ được sử dụng dịch vụ cập nhật liên tục"

1.1.3 Lý do chọn đề tài

- Có rất nhiều câu hỏi, ví dụ như, liệu các dịch vụ công nghệ thông tin được cung cấp từ các năng lực của ĐTĐM có thể được đặt tại cơ sở của doanh nghiệp (trong nội bộ) hoặc ở một nơi nào khác bên ngoài không? và các biện pháp an ninh nào đang bảo vệ các dịch vụ công nghệ thông tin trên nền tảng ĐTĐM – liệu đó sẽ là các tường lửa, thiết bị dò quét và phòng chống tấn công (IDS/IPS) truyền thống được sử dụng ở vành đai mạng doanh nghiệp hay ở bên ngoài vành đai đó Việc đảm bảo an toàn thông tin và các tài nguyên lưu trữ trên hệ thống máy tính hiện nay là một trong những ưu tiên hàng đầu, song song đó, việc xây dựng những hệ thống tính toán hoặc những ứng dụng có độ an toàn tuyệt đối gần như là không thể bởi sự phát sinh quá nhiều những lỗ hổng bảo mật, mục tiêu lợi ích kinh tế mà tin tặc đặt ra…Bởi thế, việc lựa chọn áp dụng một hệ thống ĐTĐM hiện nay có thể đã là lựa chọn của doanh nghiệp với lợi ích về khả năng tính toán cao và tối ưu dịch

vụ nhưng cũng với cân nhắc về giải pháp bảo mật đi kèm

- Hơn nữa, Thủ tướng Chính phủ đã phê duyệt Quy hoạch phát triển an toàn thông tin số quốc gia đến năm 2020 Theo đó, đến năm 2020, các ứng dụng

về CPĐT và thương mại điện tử đều được đảm bảo ATANTT ở mức cao nhất Quy hoạch đặt ra 4 mục tiêu tổng quát đến năm 2020, hệ thống thông tin trọng yếu quốc gia được đảm bảo ATANTT bởi các hệ thống bảo mật chuyên dùng có độ tin cậy cao

- Tháng 3/2009 Ủy Ban Nhân Dân TPHCM quyết định giao cho QTSC thực hiện dự án ứng dụng Công nghệ ĐTĐM để xây dựng hạ tầng trung tâm dữ liệu cung cấp dịch vụ cho chương trình ứng dụng CNTT CPĐT – Cổng thông tin điện tử của TP.HCM

- TP.HCM là nơi đầu tiên của cả nước áp dụng đầu tư theo mô hình hợp tác công – tư (Pulic Private Partnership) để phát triển các dịch vụ CPĐT phục

vụ quản lý nhà nước và phục vụ công dân hiệu quả QTSC là đơn vị được chính quyền thành phố tin tưởng giao nhiệm vụ thực hiện một dự án đòi hỏi phải đảm bảo an ninh tốt và bảo mật cao Dự án quản lý cổng thông tin điện

tử TP.HCM (gọi tắt là hệ thống Cityweb) bao gồm tập hợp hơn 100 website hiện có của toàn bộ các sở, ban, ngành, quận huyện trực thuộc TP.HCM Mục tiêu sử dụng của Cityweb là cung cấp thông tin từ các

Sở, ban, ngành, quận, huyện một cách nhanh chóng và chính xác đến nhân dân Đối tượng phục vụ chủ yếu là các khách hàng trong nước với yêu cầu số kết nối đến hệ thống CityWeb có số lượng lớn, thường xuyên và liên tục Là tiếng nói của Đảng và nhà nước đến nhân dân cho nên hệ thống Cityweb có yêu cầu khắt khe về an toàn và an ninh thông tin để đảm bảo những thông tin cung cấp là chính thống và duy nhất

- Hệ thống CPĐT Cityweb bao gồm cổng thông tin web, website thông tin, dữ liệu đơn vị, các ứng dụng web tồn tại các nguy cơ rất cao về an ninh mạng bởi vì chúng được truy cập từ Internet và là ứng dụng chứa nhiều điểm yếu

an ninh nhất Theo các nghiên cứu, có trên 80% ứng dụng Web đều có những điểm yếu nguy hiểm và 75% các tấn công mạng là nhằm vào ứng

o Các tấn công phá hoại như là thay đổi giao diện, thông tin trên trang web với mục đích bôi nhọ hình ảnh, làm phương hại, giảm uy tín đơn

o Nguy cơ bị tấn công từ chối dịch vụ (DoS) làm cho website không còn khả năng phục vụ các yêu cầu hợp lệ

- Ngoài ra, hệ thống ĐTĐM cũng là một công nghệ mới và đang được ứng dụng nhiều bởi các doanh nghiệp do tính sẵn sàng, khả năng mở rộng nhanh

và khả năng uyển chuyển trong cung cấp dịch vụ của nó Nhưng đi đôi với tính sẵn sàng và tốc độ mở rộng nhanh chóng đó là khả năng bảo mật dữ liệu, bảo mật hệ thống tránh các tấn công từ bên ngoài lẫn bên trong, các nguy cơ mất cắp dữ liệu rất cao trong hệ thống lớn như vậy cần được nghiên cứu khắc phục, nhằm giảm thiểu rủi ro nhất là đối với dữ liệu thuộc cấp chính quyền Và cũng do xu hướng đầu tư công nghệ mới của doanh nghiệp hiện nay mà không cân nhắc đến các rủi ro có thể phát sinh, chính vì vậy mà các lỗ hổng bảo mật phát sinh càng nhiều và lan truyền dẫn đến các hậu quả không lường trước khi từ lỗ hổng bảo mật này là nguy cơ dây chuyền của các lỗi bảo mật nghiêm trọng hơn về sau

1.2 Phạm vi và câu hỏi nghiên cứu

1.2.1 Phạm vi nghiên cứu

- Phạm vi nghiên cứu của luận văn tập trung nghiên cứu những vấn đề sau:

o Hệ thống CPĐT bao gồm nhiều hệ thống hành chính công được “điện tử” hóa bằng cách triển khai các trên ứng dụng và hạ tầng CNTT, có thể kể ra một số thành phần như sau: hệ thống trang web lưu trữ các thông tin của các đơn vị Sở, Ban, Ngành, Quận, Huyện tại TPHCM;

hệ thống Cán bộ công chức; hệ thống MCĐT, hệ thống Bản đồ; Hệ thống thư điện tử… Phạm vi nghiên cứu của luận văn này đề cập đến

hệ thống MCĐT, định nghĩa chức năng, mô hình hoạt động của hệ thống và triển khai hệ thống MCĐT trên nền tảng ĐTĐM Sử dụng

mô hình ĐTĐM đang triển khai tại QTSC vào triển khai chức năng

đã chọn

o Nghiên cứu 3 bộ tiêu chuẩn ISO 27001, ISO 27002, ISO 27005 về mặt lý thuyết Sử dụng kết quả nghiên cứu bộ tiêu chuẩn ISO 27005 nhằm đánh giá rủi ro về an toàn dữ liệu khi triển khai hệ thống MCĐT trên nền ĐTĐM

o Sử dụng kết quả nghiên cứu bộ tiêu chuẩn ISO 27002 đưa ra biện pháp đề xuất nhằm giảm thiểu rủi ro về an toàn dữ liệu của hệ thống MCĐT

1.2.2 Câu hỏi nghiên cứu

o Mô hình hoạt động của hệ thống MCĐT như thế nào ?

o Tầm quan trọng của việc bảo vệ dữ liệu MCĐT ?

o Mối quan hệ giữa các đơn vị hành chính công khi áp dụng hệ thống MCĐT ?

o Hệ thống MCĐT triển khai tại TPHCM hiện nay đang gặp phải những rủi ro gì ?

o Các mối đe dọa của hệ thống MCĐT ?

- Mô hình ĐTĐM có áp dụng được cho hệ thống CPĐT hay không ?

o ĐTĐM là gì ? Mô hình triển khai như thế nào ? Những tiện ích và hạn chế của ĐTĐM ?

o Tại sao lại chọn ĐTĐM để triển khai hệ thống CPĐT mà không phải

là các mô hình truyền thống khác ? Có đem lại hiệu quả không ?

o Những ích lợi sau khi triển khai CPĐT trên nền Điện toán đám mấy

là gì ? ngược lại, có những rủi ro gì ?

o Các chính sách hiện tại (chính sách quản lý và truy xuất dữ liệu, chính sách bảo mật thông tin, quy trình quản lý công…) của hệ thống CPĐT có thể áp dụng được trên ĐTĐM không ?

1.2.3 Thời gian thực hiện

Từ ngày 02/07/2012 đến ngày 31/12/2012

Gia hạn đến ngày 21/06/2013

1.3 Mục tiêu của đề tài

- Bằng cách nghiên cứu lý thuyết nghiên cứu các mối đe dọa đối với hệ thống ĐTĐM, các mối đe dọa khi sử dụng sản phẩm hệ thống ĐTĐM này cho hệ thống MCĐT, cùng với tầm quan trọng của dữ liệu MCĐT, độ nhạy cảm và những yếu tố thiếu bảo mật trong hệ thống, những yếu tố nào dễ bị tấn công,

dễ bị chiếm quyền điều khiển hoặc trục lợi, qua đó xác định được hiện trạng ATANTT của hệ thống MCĐT được triển khai trên nền tảng ĐTĐM

- Xác định có bao nhiêu loại dữ liệu tồn tại trong hệ thống ĐTĐM, loại dữ liệu nào cần được bảo vệ và mức độ bảo vệ chúng trong hệ thống ĐTĐM

- Sử dụng kết quả nghiên cứu bộ tiêu chuẩn ISO 27005 nhằm đánh giá mức

độ rủi ro của hệ thống MCĐT và đưa ra các biện pháp giảm thiểu rủi ro dựa trên bộ tiêu chuẩn ISO 27002

1.4 Ý nghĩa và đóng góp của đề tài

1.4.1 Ý nghĩa của đề tài

- Nghiên cứu này giúp các đơn vị chính phủ có cái nhìn tổng quát hơn về việc xây dựng hệ thống CPĐT trên nền ĐTĐM hay trên hệ thống CNTT truyền thống

- Nghiên cứu này ngoài ứng dụng trực tiếp trong hệ thống CPĐT còn có thể

áp dụng rộng rãi cho bất kỳ doanh nghiệp nào trong việc lựa chọn mô hình CNTT để áp dụng vào hoạt động điều hành, sản xuất của doanh nghiệp mình tùy thuộc vào nhu cầu và các điều kiện đặc trưng vốn có của doanh nghiệp

- Nghiên cứu này giúp doanh nghiệp hiểu được tầm quan trọng của việc áp dụng công nghệ vào hoạt động sản xuất điều hành phải cân nhắc đi đôi với việc bảo vệ an toàn dữ liệu, an ninh thông tin Và việc triển khai bộ quy trình

hệ thống quản lý an toàn anh ninh thông tin dựa trên bộ tiêu chuẩn ISO

27001 là sự cân nhắc tiên quyết trong việc bảo vệ an toàn an ninh dữ liệu hệ thống một cách hiệu quả

1.4.2 Đóng góp của đề tài

- ĐTĐM là một hướng tiếp cận mới trong tiến trình CNTT hóa đất nước, có rất nhiều công trình nghiên cứu về ĐTĐM trong và ngoài nước với nhiều mô hình, kiểu mẩu và cách xây dựng khác nhau Đối với khu vực chính phủ, những ứng dụng điển hình tại chính phủ các quốc gia, các cách thức triển khai ĐTĐM một cách nhanh chóng để có thể tận dụng được những lợi ích

mà nó mang lại trong việc quản lý các nguồn lực một cách hiệu quả, tiết

- Một trong những đóng góp quan trọng của luận văn này đưa ra một hướng tiếp cận mới trong việc sử dụng hệ thống ĐTĐM, áp dụng ĐTĐM vào hoạt động điều hành và sản xuất của doanh nghiệp và đặt biệt ở luận văn này là đưa hệ thống chỉnh phủ hành chính công vào triển khai trên hệ thống ĐTĐM, đóng góp này mở ra một kỹ nguyên CNTT giữa nhân dân Việt Nam

và bộ phận hỗ trợ nhân dân cụ thể là các đơn vị chính phủ trong công cuộc quản lý đất nước, giảm thiểu các công việc tay chân, giảm thiểu các rối ren, các quy trình quy chuẩn phức tạp trong thủ tục hành chính nhà nước

- Song song đó, luận văn này còn nghiên cứu bộ tiêu chuẩn ISO 27001 về hệ thống quản lý an ninh thông tin do Tổ chức tiêu chuẩn hoá quốc tế phát triển và ban hành vào tháng 10 năm 2005 Tiêu chuẩn cung cấp một mô hình

để thiết lập, áp dụng, vận hành, giám sát, xem xét, duy trì, cải tiến hệ thống ISMS và có thể áp dụng cho hầu hết mọi loại hình tổ chức như: các tổ chức kinh doanh – thương mại, Chính phủ, tổ chức phi lợi nhuận

1.5 Phương pháp nghiên cứu

1.5.1 Phương pháp nghiên cứu áp dụng

Phương pháp chính được sử dụng trong luận văn này là phương pháp phân tích, dựa vào các tài nguyên thu thập được bao gồm các tài liệu từ các nguồn đáng tin cậy, đã được chuẩn hóa và sử dụng rộng rãi trên thế giới Tôi sử dụng chúng để phân tích các yếu tố và các khía cạnh trong một phạm vi cụ thể là hệ thống MCĐT Từ các phân tích đó, tôi chỉ ra được các mục tiêu của bài toán cần giải quyết:

o Giải quyết bài toán đánh giá rủi ro của hệ thống MCĐT

o Từ kết quả đánh giá rủi ro, đề xuất phương pháp xử lý rủi ro

Ngoài ra, phương pháp nghiên cứu tại bàn và thu thập thông tin cũng được

sử dụng trong luận văn

1.5.2 Tài nguyên sử dụng

- Nguồn dữ liệu sơ cấp được thu thập thông qua phỏng vấn với những nhân viên của các đơn vị Sở - Ban – Ngành, phương pháp phỏng vấn trực tiếp bằng các câu hỏi mở

- Ngoài ra, luận văn thạc sĩ này tôi cũng sử dụng nguồn dữ liệu thứ cấp được thu thập thông qua:

o Tài liệu thiết kế, xây dựng và vận hành hệ thống ĐTĐM được triển khai tại QTSC và các tài liệu về cơ sở hạ tầng CNTT khác tại QTSC

o Tài liệu xây dựng triển khai hệ thống MCĐT

o Ba bộ tài liệu ISO 27001, ISO 27002 và ISO 27003 cung cấp bởi Công Ty DAS Certification Các hướng dẫn, các quy định, quy trình, chính sách mẫu được tham khảo từ bộ tài liệu Hướng dẫn ban hành các chính sách ISMS của công ty DAS Certification

- Và một số tài liệu thứ cấp khác như các bài báo khoa học, sách và tài liệu từ mạng Internet cũng được sử dụng trong luận văn này

1.6 Kết cấu của luận văn

Luận văn bao gồm 5 chương:

Chương 1: Giới thiệu tổng quan về nghiên cứu; lý do hình thành đề tài, phạm vi

nghiên cứu, mục tiêu nghiên cứu cũng như ý nghĩa và đóng góp của nghiên cứu

Chương 2: Trình bày cơ sở lý thuyết, tìm hiểu về hệ thống CPĐT đặt biệt là hệ

thống MCĐT là phạm vi nghiên cứu xuyên suốt luận văn này, nghiên cứu về tiêu chuẩn ISO 27001, ISO 27002 và ISO 27005 và cách thức áp dụng các tiêu chuẩn này

Chương 3: Giới thiệu hệ thống MCĐT và tình hình ATANTT của hệ thống

MCĐT

Chương 4: Sử dụng bộ tiêu chuẩn ISO 27005 để đánh giá rủi ro an toàn an ninh

của hệ thống MCĐT đã và đang xây dựng tại TPHCM Từ kết quả đánh giá, đề

hình ATANTT thực tế của hệ thống MCĐT, sử dụng các kết quả nghiên cứu lý thuyết trên vào bài toán thực tế này

Chương 5: Bao gồm kết luận, những bài học kinh nghiệm rút ra từ nghiên cứu luận

văn và các đề xuất hướng nghiên cứu kế tiếp trong tương lai

CHƯƠNG II:

II CƠ SỞ LÝ THUYẾT

2.1 Bộ tiêu chuẩn về an toàn thông tin ISO 27XXX

- Ngày nay, hầu hết mọi hoạt động của các tổ chức/đơn vị đều bị phụ thuộc vào máy tính, hạ tầng mạng và cơ sở dữ liệu Cùng với sự phát triển mạnh

mẽ của CNTT, tội phạm mạng cũng trở nên ngày càng tinh vi với các kỹ thuật công nghệ cao, hậu quả để lại ngày càng nghiêm trọng Ngoài ra, các

tổ chức còn phải đối mặt với rất nhiều loại hiểm họa an toàn từ nhiều nguồn khác nhau như gian lận, gián điệp, phá hoại, cháy nổ, lũ lụt….Vì vậy, vấn đề mất an toàn thông tin và mất an toàn mạng ngày càng trở nên cấp thiết Việc

áp dụng các tiêu chuẩn, các biện pháp kỹ thuật đảm bảo an toàn thông tin cũng được các tổ chức/đơn vị quan tâm hơn, tuy vẫn còn đang rất hạn chế và gặp nhiều vướng mắc Một trong những nguyên nhân chính là do hệ thống các tiêu chuẩn kỹ thuật quốc gia về an toàn thông tin chưa đầy đủ nên cần sớm bổ sung và hoàn thiện hệ thống các tiêu chuẩn để áp dụng rộng rãi

- Có thể nói rằng, ISO 27xxx là một phần của hệ thống quản lý chung trong tổ chức, được thực hiện dựa trên nguyên tắc tiếp cận các rủi ro trong hoạt động,

để thiết lập, áp dụng, thực hiện, theo dõi, xem xét, duy trì và cải tiến đảm bảo an toàn thông tin của tổ chức

- Cho tới nay, việc áp dụng ISMS phù hợp với ISO 27 xxx đã được triển khai rộng khắp ở hầu hết các quốc gia trên thế giới đặc biệt là trong lĩnh vực tài chính ngân hàng Tại Việt Nam, một số ngân hàng cũng đang triển khai áp dụng hệ thống này và bước đầu đã có được những kết quả nhất định

- Xét về lịch sự hình thành của bộ tiêu chuẩn, ISO 27 xxx cũng có nguồn gốc

từ Anh quốc Bắt đầu vào năm 1992, Phòng Thương mại và Công nghiệp Anh ban hành ra qui phạm thực hành về hệ thống an toàn thông tin dựa trên các hệ thống đảm bảo an toàn thông tin nội bộ của các công ty dầu khí Tài liệu này sau đó được Viện tiêu chuẩn hoá Anh chính thức ban hành thành tiêu chuẩn quốc gia với mã hiệu BS 7799-1 vào năm 1995 Năm 2000, tiêu chuẩn này được Tổ chức Tiêu chuẩn hoá Quốc tế chính thức chấp nhận và ban hành với mã hiệu ISO/IEC 17799:2000 - tiền thân của bộ tiêu chuẩn ISO 27xxx ngày nay

- Tiêu chuẩn ISO/IEC 27xxx là một phần của hệ thống quản lý chung của các

tổ chức, doanh nghiệp do vậy có thể xây dựng độc lập hoặc kết hợp với các

hệ thống quản lý khác như ISO 9000, ISO 14000,

- Hiện nay, đã có 16 tiêu chuẩn trong bộ tiêu chuẩn này đã được ban hành, và một số khác hiện đang được xây dựng, cụ thể:

2.1.1 Tiêu chuẩn ISO/IEC 27000

ISO/IEC 27000 - ISMS – Tổng quan và thuật ngữ

o ISO/IEC 27000 quy định các vấn đề về từ vựng và thuật ngữ

o Phiên bản hiện tại: ISO/IEC 27000:2009

o Nội dung tiêu chuẩn này đưa ra:

 Tổng quan về bộ các tiêu chuẩn ISMS

 Giới thiệu ISMS

 Mô tả ngắn gọn về quy trình Lập kế hoạch-Thực hiện-Kiểm tra-Hành động (PDCA)

 Các thuật ngữ và định nghĩa

2.1.2 Tiêu chuẩn ISO/IEC 27001

ISO/IEC 27001 — ISMS — Các yêu cầu

o Phiên bản hiện tại: ISO/IEC 27001:2005

o Mục tiêu: Tiêu chuẩn này đưa ra một mô hình cho việc thiết lập, triển

phê chuẩn triển khai một hệ thống ISMS sẽ là một quyết định chiến lược của tổ chức Thiết kế và triển khai ISMS của một tổ chức phụ thuộc vào các nhu cầu và mục tiêu khác nhau, các yêu cầu về an toàn cần phải đạt, các quy trình đang được sử dụng và quy mô, cấu trúc của tổ chức

o Nội dung: Tiêu chuẩn xác định rõ yêu cầu cho từng quá trình: thiết lập; triển khai và vận hành; giám sát và soát xét; duy trì và cải tiến một hệ thống ISMS để bảo vệ hệ thống thông tin và chủ động chuẩn

bị các phương án xử lý trước những rủi ro có thể xảy ra Tiêu chuẩn này chỉ rõ các yêu cầu khi thực hiện các mục tiêu và biện pháp quản

lý đã được chọn lọc phù hợp cho tổ chức hoặc các bộ phận

o Các yêu cầu được trình bày trong tiêu chuẩn mang tính tổng quát và nhằm ứng dụng rộng rãi cho nhiều loại hình cơ quan/tổ chức khác nhau Nội dung tiêu chuẩn bao gồm các phần chính:

 ISMS

 Trách nhiệm của Ban quản lý

 Kiểm toán nội bộ hệ thống ISMS

 Soát xét của ban quản lý đối với hệ thống ISMS

 Cải tiến hệ thống ISMS

o Tiêu chuẩn này hoàn toàn tương thích với các tiêu chuẩn quản lý khác như ISO 9001:2000 và ISO 14001:2004, đảm bảo sự thống nhất và thành công khi triển khai cùng lúc các tiêu chuẩn quản lý khác nhau

2.1.3 Tiêu chuẩn ISO/IEC 27002

ISO/IEC 27002 — Quy tắc thực hành quản lý an toàn thông tin

o Phiên bản hiện tại: ISO/IEC 27002:2005

o Mục tiêu: Tiêu chuẩn này thiết lập các định hướng và nguyên tắc chung cho khởi tạo, triển khai, duy trì và cải tiến công tác quản lý an toàn thông tin trong một tổ chức Mục tiêu của tiêu chuẩn này là đưa

ra hướng dẫn chung nhằm đạt được các mục đích chung đã được chấp nhận trong quản lý an toàn thông tin

o Nội dung: Nội dung của ISO/IEC 27002:2005 bao gồm 134 biện pháp cho an toàn thông tin và được chia thành 11 nhóm Dựa trên việc phân tích các ý kiến thu thập từ việc triển khai thực tế cấu trúc phiên bản mới này có khá nhiều thay đổi so với phiên bản năm 2000 Nội dung mới được cập nhật đã làm rõ hơn các vấn đề trong việc bảo đảm

an toàn thông tin trong thương mại điện tử, các dịch vụ do các đối tác bên ngoài cung cấp, quản lý nhân sự, sử dụng mạng không dây,…

o Tiêu chuẩn này gồm 11 điều về kiểm soát an toàn thông tin với tất cả

39 danh mục an toàn chính và một điều giới thiệu về đánh giá và xử

lý rủi ro Mỗi điều gồm một số danh mục an toàn chính:

 Chính sách an toàn thông tin

 Tổ chức đảm bảo an toàn thông tin

 Quản lý tài sản

 An toàn nguồn nhân lực

 Đảm bảo an toàn vật lý và môi trường

 Quản lý truyền thông và vận hành

 Quản lý truy cập

 Tiếp nhận, phát triển và duy trì các hệ thống thông tin

 Quản lý các sự cố an toàn thông tin

 Quản lý sự liên tục của hoạt động nghiệp vụ

 Sự tuân thủ

2.1.4 Tiêu chuẩn ISO/IEC 27003

ISO/IEC 27003 - ISMS – Hướng dẫn triển khai

o Tiêu chuẩn này được công bố vào tháng 1/2010

o Mục tiêu: Cung cấp hướng dẫn thực hành phát triển một kế hoạch triển khai ISMS (ISMS) trong một tổ chức theo ISO/IEC 27001:2005

Triển khai thực tế một ISMS nhìn chung được thực hiện như một dự

án

o Nội dung:

 Cấu trúc của tiêu chuẩn

 Khởi động dự án ISMS

 Xác định phạm vi, các giới hạn và chính sách ISMS

 Phân tích các yêu cầu an toàn thông tin

 Đánh giá rủi ro và lập kế hoạch xử lý rủi ro

 Thiết kế ISMS

2.1.5 Tiêu chuẩn ISO/IEC 27004

ISO/IEC 27004 - ISMS – Đo lường

o Tiêu chuẩn này được công bố vào tháng 7/12/2009

o Mục tiêu: Mục tiêu của ISO/IEC 27004 là giúp các tổ chức đo đạc, báo cáo và cải thiện có hệ thống hiệu quả của các hệ thống ISMS của

họ

o Nội dung: Tiêu chuẩn này gồm các phần chính:

 Tổng quan về đo kiểm an toàn thông tin

 Các trách nhiệm của ban quản lý

 Phát triển các biện pháp đo lường và việc đo lường

 Triển khai đo lường

 Phân tích dữ liệu và báo cáo các kết quả

 Đánh giá và cải tiến chương trình đo lường an toàn thông tin 2.1.6 Tiêu chuẩn ISO/IEC 27005

ISO/IEC 27005 – CNTT – Kỹ thuật an toàn – Quản lý rủi ro an toàn thông tin

o Tiêu chuẩn này được ban hành tháng 6/2008 và có phiên bản thay thế ban hành tháng 6/2011

o Mục tiêu của ISO/IEC 27005 là cung cấp các định hướng cho quản lý rủi ro an toàn thông tin ISO/IEC 27005 được thiết kế nhằm hỗ trợ

triển khai an toàn thông tin một cách thỏa đáng dựa trên phương thức tiếp cận quản lý rủi ro Tiêu chuẩn này không chỉ rõ, được khuyến nghị hoặc thậm chí không đưa ra bất kỳ một phương pháp phân tích rủi ro cụ thể, mặc dù nội dung tiêu chuẩn đã đưa ra một quy trình có

hệ thống và nghiêm ngặt từ việc phân tích rủi ro đến việc thiết lập kế hoạch xử lý rủi ro

 Trao đổi và tư vấn rủi ro

 Giám sát và soát xét rủi ro

2.1.7 Tiêu chuẩn ISO/IEC 27006

ISO/IEC 27006 - ISMS – Các yêu cầu đối với các cơ quan kiểm tra và cấp chứng nhận các ISMS

o Mục tiêu: ISO/IEC 27006 đưa ra các yêu cầu chính thức đối với các

tổ chức chứng nhận các tổ chức khác tuân thủ ISO/IEC 27001 Tiêu chuẩn này giúp đảm bảo rằng các chứng chỉ ISO/IEC 27001 đã được chứng nhận bởi các tổ chức được chỉ định là đủ tin cậy

o Nội dung: Tiêu chuẩn này gồm các nội dung chính sau:

 Các nguyên tắc

 Các yêu cầu chung

 Các yêu cầu về cấu trúc

 Các yêu cầu về nguồn lực

 Các yêu cầu về thông tin

 Các yêu cầu về quy trình

 Các yêu cầu về hệ thống quản lý đối với các cơ quan chứng nhận

2.1.8 Tiêu chuẩn ISO/IEC 27007

ISO/IEC 27007:2011- ISMS – Các kỹ thuật an toàn – Hướng dẫn đánh giá ISMS

o Mục tiêu: Tiêu chuẩn này đưa ra hướng dẫn cho các tổ chức cấp chứng nhận, các đánh giá viên quốc tế, các đánh giá viên bên ngoài/bên thứ ba và các đánh giá viên khác về ISMS theo ISO/IEC

 Thực hiện một cuộc đánh giá ISMS MS (quy trình đánh giá – lập kế hoạch, thực hiện, các hoạt động đánh giá chính bao gồm điều tra, phân tích, lập báo cáo …)

 Quản lý các đánh giá viên ISMS (năng lực, kỹ năng, thái độ, làm việc)

2.1.9 Tiêu chuẩn ISO/IEC 27008

ISO/IEC TR 27008:2011- ISMS – Các kỹ thuật an toàn – Hướng dẫn kiểm tra viên kiểm soát ISMS

Mục tiêu: Đưa ra hướng dẫn cho các chuyên gia đánh giá kiểm soát Hệ thống an ninh thông tin

2.1.10 Tiêu chuẩn ISO/IEC 27010

ISO/IEC 27010:2012–Quản lý an toàn thông tin cho truyền thông liên ngành

và liên tổ chức

Mục tiêu: Đưa ra hướng dẫn Quản lý An toàn thông tin trong lĩnh vực viễn thông

2.1.11 Tiêu chuẩn ISO/IEC 27011

ISO/IEC 270011 - ISMS - Định hướng quản lý an toàn thông tin cho các tổ chức viễn thông dựa trên ISO/IEC 27002

2.1.12 Tiêu chuẩn ISO/IEC 27031

ISO/IEC 27031:2011- Hướng dẫn về sự sẵn sàng của ICT để đạt được sự liên tục về nghiệp vụ

Mục tiêu: Đưa ra hướng dẫn về CNTT và truyền thông để đạt được sự liên tục về nghiệp vụ

2.1.13 Tiêu chuẩn ISO/IEC 27033-1

ISO/IEC 27033-1:2009 - Tổng quan và các khái niệm về an toàn mạng

o Mục tiêu: Đưa ra tổng quan và các khái niệm về an toàn mạng

 Giám sát và soát xét triển khai giải pháp

2.1.14 Tiêu chuẩn ISO/IEC 27034

ISO/IEC 27034-1:2011 - An toàn ứng dụng

Mục tiêu: Đưa ra các hướng dẫn về an toàn ứng dụng

2.1.15 Tiêu chuẩn ISO/IEC 27035

ISO/IEC 27035:2011 – Quản lý sự cố an toàn thông tin

Mục tiêu: Thay thế ISO TR 18044 về quản lý sự cố an toàn thông tin

2.1.16 Tiêu chuẩn ISO/IEC 27799

ISO 27799 – Quản lý an toàn thông tin sức khỏe khi áp dụng ISO/IEC

27002

o Mục tiêu: Mục đích của ISO 27799 là đưa ra các hướng dẫn cho các

tổ chức y tế và các tổ chức nắm giữ thông tin sức khỏe cá nhân bảo vệ các thông tin sức khỏe khi triển khai ISO/IEC 27002

o Nội dung:

 An toàn thông tin sức khỏe

 Kế hoạch hành động thực hành khi triển khai ISO 17799/27002

 Các vấn đề về chăm sóc sức khỏe khi triển khai ISO 17799/27002 và các phụ lục

2.2 ISMS và các quy tắc thực hành quản lý an toàn thông tin (ISO

27001, ISO 27002)

2.2.1 Giới thiệu bộ tiêu chuẩn ISO 27001

ISO 27001 là tiêu chuẩn về Hệ thống quản lý an toàn thông tin (ISMS-Information Security Management System) do Tổ chức tiêu chuẩn hóa quốc tế ISO phát triển và ban hành Tiêu chuẩn này đề ra các yêu cầu trong việc xây dựng, áp dụng, điều hành, kiểm tra, giám sát và phát triển Hệ thống quản lý an ninh thông tin một cách toàn diện, khoa học Mục đích của ISO 27001:2005 là cung cấp cơ sở chung cho việc phát triển các chuẩn an ninh tổ chức và thực tiễn quản lý an ninh một cách hiệu quả, đồng thời cung cấp sự tin cậy trong các mối quan hệ của tổ chức

2.2.2 Phạm vi áp dụng ISO 27001

- Tiêu chuẩn này áp dụng rộng rãi cho nhiều loại hình tổ chức (ví dụ: các tổ chức thương mại, cơ quan nhà nước, tổ chức phi lợi nhuận) Tiêu chuẩn này chỉ rõ yêu cầu đối với hoạt động thiết lập, triển khai, điều hành, giám sát, soát xét, duy trì và cải tiến một ISMS (ISMS) để đảm bảo an toàn thông tin

trước những rủi ro có thể xảy ra với các hoạt động của tổ chức Tiêu chuẩn này cũng chỉ rõ các yêu cầu khi triển khai các biện pháp quản lý an toàn đã được chọn lọc phù hợp với nhu cầu của tổ chức hoặc bộ phận của tổ chức

- Hệ thống ISMS được thiết kế các biện pháp đảm bảo an toàn thông tin phù hợp và đầy đủ để bảo vệ các tài sản thông tin và đem lại sự tin tưởng của các bên liên quan như đối tác, khách hàng…

2.2.3 Các yêu cầu của ISMS ISO 27001

- Thiết lập và quản lý hệ thống ISMS: Xác định phạm vi và các giới hạn của

hệ thống ISMS theo đặc thù công việc, tổ chức, địa điểm, tài sản và công nghệ, xây dựng và hoạch định chính sách ISMS theo đặc thù công việc, tổ chức, địa điểm, tài sản và công nghệ, xác định phương pháp tiếp cận đánh giá rủi ro của tổ chức, xác định rủi ro, phân tích và ước lượng rủi ro, và các biện pháp quản lý rủi ro…

- Triển khai và điều hành hệ thống ISMS: Lập và triển khai kế hoạch xử lý rủi

ro nhằm đáp ứng các mục tiêu quản lý, đánh giá hiệu lực của các biện pháp quản lý, quản lý hoạt động, tài nguyên của hệ thống…

- Giám sát và soát xét hệ thống ISMS: Tiến hành giám sát và soát xét nhằm nhanh chóng phát hiện ra lỗi, lỗ hổng, sự cố an toàn thông tin và từ đó có biện pháp ngăn chặn Thường xuyên soát xét hiệu lực của hệ thống ISMS đi kèm với đánh giá hiệu lực của các biện pháp quản lý nhằm xác minh các yêu cầu về an toàn thông tin đã được đáp ứng Và đặt biệt là các soát xét về các đánh giá rủi ro Cập nhật, lập và ghi chép tài liệu về các hành động và sự kiện có khả năng ảnh hưởng đến hiệu lực hoặc hiệu suất của hệ thống ISMS

- Duy trì và cải tiến hệ thống ISMS: Thường xuyên triển khai các cải tiến, thông báo với các bên liên quan về các hành động và cải tiến của hệ thống ISMS và phải đảm bảo được việc cải tiến đạt được mục tiêu đề ra

2.2.4 Trách nhiệm của lãnh đạo đối với việc thực hiện an toàn thông tin ISO

27001

Lãnh đạo của tổ chức phải chứng minh cam kết của mình trong việc thiết lập, triển khai, điều hành, giám sát, soát xét, duy trì và cải tiến ISMS Ngoài ra phải đảm bảo về nguồn lực cần thiết để xây dựng hệ thống ISMS và phải đảm bảo người có trách nhiệm trong hệ thống ISMS phải có đầy đủ năng lực để thực hiện các nhiệm vụ được giao

2.2.5 Kiểm toán nội bộ hệ thống ISMS

Tổ chức phải thực hiện kiểm toán nội bộ hệ thống ISMS theo kế hoạch để xác định các mục tiêu quản lý, biện pháp quản lý, quy trình, thủ tục trong hệ thống ISMS bao gồm:

- Tuân thủ các yêu cầu của tiêu chuẩn này và các quy định pháp lý liên quan

- Tuân thủ các các yêu cầu đảm bảo an toàn thông tin đã xác định

- Được triển khai và duy trì hiệu quả

- Hoạt động diễn ra đúng như mong muốn

2.2.6 Soát xét hệ thống ISMS định kỳ

Tổ chức phải soát xét hệ thống ISMS của tổ chức theo kế hoạch đã đặt ra (ít nhất một lần trong năm) để luôn đảm bảo tính phù hợp, đầy đủ và hiệu quả Việc soát xét này bao gồm đánh giá khả năng có thể cải tiến và sự cần thiết phải thay đổi của hệ thống ISMS, bao gồm các chính sách an toàn thông tin và mục tiêu an toàn thông tin Kết quả của việc soát xét phải được lập thành tài liệu rõ ràng và các hồ sơ phải được lưu giữ

2.2.7 Cải tiến hệ thống ISMS

- Tổ chức phải thường xuyên nâng cao tính hiệu lực của hệ thống ISMS thông qua việc sử dụng chính sách an toàn thông tin, các mục tiêu đảm bảo an toàn thông tin, các kết quả kiểm toán, kết quả phân tích các sự kiện đã giám sát, các hành động phòng ngừa và khắc phục cũng như các kết quả soát xét của ban quản lý

- Tổ chức phải thực hiện hành động loại bỏ các nguyên nhân của các vi phạm đối với yêu cầu của hệ thống ISMS

- Tổ chức cần xác định các hành động để loại trừ các nguyên nhân gây ra các

vi phạm tiềm ẩn đối với các yêu cầu của hệ thống ISMS để phòng ngừa các

vi phạm này xảy ra Các hành động phòng ngừa cần được thực hiện phù hợp với các tác động mà các vi phạm này có thể gây ra

2.2.8 Các mục tiêu và biện pháp kiểm soát ISO 27001

Về cơ bản, các mục tiêu và biện pháp kiểm soát được trình bày trong bộ tiêu chuẩn ISO 27001 và các quy tắc thực hành quản lý an toàn thông tin trình bày trong bộ tiêu chuẩn ISO 27002 có nội dung tương ứng nhau Bộ tiêu chuẩn ISO

27001 định ra các mục tiêu cần kiểm soát nhằm đảm bảo ATANTT nhưng chỉ dừng ở mức độ chỉ ra được mục tiêu và biện pháp kiểm soát là gì Để có thể thực hiện được các biện pháp kiểm soát đó, bộ tiêu chuẩn ISO 27002 đưa ra các hướng dẫn chi tiết để thực hiện các biện pháp kiểm soát đó Các biện pháp kiểm soát chính :

- Chính sách bảo mật, an ninh và an toàn thông tin: bao gồm các kiểm soát về tài liệu, chính sách nhằm cung cấp định hướng cho quản lý và phục vụ hỗ trợ theo yêu cầu kinh doanh, theo yêu cầu pháp luật, và theo các qui định do tổ chức ban hành

- Tổ chức nội bộ: bao gồm các cam kết, các định nghĩa, các thỏa thuận và ủy quyền về quản lý an toàn thông tin, các phương tiện thông tin nhằm quản lý

an ninh, an toàn trong nội bộ của tổ chức, công ty

- Trách nhiệm trong quản lý, bảo trì tài sản: bao gồm các điều khiển về kiểm

kê, sở hữu, sử dụng tài sản nhằm duy trì, bảo vệ tài sản của tổ chức

- Phân loại thông tin: nhằm đảm bảo các loại thông tin đều được phân loại, và xác định mức độ bảo vệ an ninh, an toàn thông tin

- Các kiểm soát đối với nhân viên, nhà cung cấp và người sử dụng thuộc bên thứ 3 có thể hiểu rõ quyền hạn và trách nhiệm phù hợp với vai trò, vị trí đang được xem xét nhằm giảm thiểu khả năng trộm cắp, gian lận, hoặc sử dụng trang thiết bị sai mục đích nhận thức được mối đe dọa bảo mật thông tin Nhận thức được sự quan tâm, trách nhiệm, và các khoản bồi hoàn của họ trong các chính sách bảo mật, an ninh, an toàn thông tin của tổ chức Và