HỌC VIỆN KỸ THUẬT MẬT MÃ KHOA AN TỒN THƠNG TIN BÁO CÁO MÔN HỌC QUẢN LÝ VÀ XÂY DỰNG CHÍNH SÁCH ATTT Đề tài: THIẾT LẬP HỆ THỐNG QUẢN LÝ THÔNG TIN THEO TIÊU CHUẨN ISO 27001-2013 Sinh viên thực hiện: Đào Thị Huyền Anh - AT150301 Hoàng Thị Thêu - AT150455 Lương Hoài Dung - AT150408 Phạm Kiều Giang - AT150413 Vũ Thị Thùy Linh - AT150429 Nhóm: 09 Giảng viên hướng dẫn: Cô NGUYỄN THỊ THU THỦY Hà Nội, 11-2021 MỤC LỤC LỜI NÓI ĐẦU Hiện nay, với phát triển nhanh chóng lĩnh vực công nghệ, xuất nhiều công mạng, công từ hacker, nguy gây an tồn thơng tin xảy với tần xuất nhiều hơn, nghiêm trọng Bên cạnh doanh nghiệp giới nói chung Việt Nam nói riêng phát triển đa dạng ngành nghề lĩnh vực Mỗi ngành nghề lĩnh vực địi hỏi thơng tin cần phải bảo mật, tồn vẹn sẵn sàng, vừa giúp cho doanh nghiệp phát triển, thơng tin bảo vệ, hạn chế công, vừa giúp cho doanh nghiệp có hình ảnh uy tín bên đối tác đánh giá tin tưởng hợp tác với doanh nghiệp có bảo vệ thơng tin cách an tồn Như vấn đề an tồn thơng tin lại quan trọng nhu cầu cấp thiết doanh nghiệp Vậy làm để giúp doanh nghiệp thực điều Để trả lời cho câu hỏi này, luận văn Nghiên cứu tiêu chuẩn ISO 27001 ứng dụng nghiên cứu tìm hiểu cách xây dựng hệ thống an tồn thơng tin cho doanh nghiệp, giúp cho doanh nghiệp quản lý, bảo vệ thơng tin cách an tồn hiệu Nhóm em chia thành chương sau: Chương 1: Tổng quan Chương 2: Quy trình xây dựng hệ thống isms theo tiêu chuẩn iso 27001:2013 Chương 3: Thiết lập hệ thống iso/iec 27001 CHƯƠNG 1: TỔNG QUAN 1.1 Hệ thống quản lý thông tin gì? Hệ thống quản lý thơng tin (Information Security Management System), hay ISMS qui định (như sách, qui trình, hướng dẫn, biểu mẫu…) ISMS thực tổ chức (doanh nghiệp, trường học) để đảm bảo hệ thống thông tin tổ chức an ninh, an toàn cách phù hợp với mục tiêu kinh doanh tổ chức Hệ thống quản lý an tồn thơng tin cách tiếp cận có hệ thống để quản lý thơng tin nhạy cảm cơng ty nhằm tăng tính bảo mật cho thơng tin Nó bao gồm nhân lực, quy trình hệ thống CNTT dựa quy trình quản lý rủi ro để giúp tổ chức thuộc quy mơ ngành nghề giữ an tồn cho tài sản kinh doanh dạng thông tin Một số khái niệm hệ thống an tồn thơng tin: An tồn thơng tin gì? Theo định nghĩa tiêu chuẩn ISO 27001 (iso-27001:2013-he-thong-quan-ly-antoan-thong-tin) an tồn thơng tin có liên quan đến tính Chất lượng sẵn sàng, bảo mật, tồn thơng tin Ngồi việc tồn thơng tin cịn bao gồm tính chất khác trách nhiệm, xác thực, tính tin cậy xác nhận Bảo mật gì? Bảo mật tính chất ISMS tiếp cận sử dụng thông tin đối tượng xác thực Tồn gì? Tính đầy đủ đắn tính chất tồn vẹn thơng tin Sẵn sàng gì? Một chất lượng an tồn thơng tin tính sẵn sàng Tính sẵn sàng hiểu tiếp cận sử dụng tùy chọn theo yêu cầu đối tượng phép Những lĩnh vực Hệ thống an ninh thông tin cần có: Chính sách an ninh Chính sách an ninh cung cấp dẫn hỗ trợ quản lý an ninh thông tin Tổ chức an ninh Một tổ chức an ninh hệ thống ISMS có vai trị trì an ninh, quản lý an tồn thơng tin Doanh Nghiệp q trình hỗ trợ thơng tin tài sản thông tin khác truy cập thành phần thứ Phân loại kiểm soát tài sản Việc phần loại kiểm soát tài sản vấn đề quan trọng Hệ thống ISMS cần đảm bảo trì tài sản Doanh Nghiệp mức độ thích hợp An ninh nhân Hệ thống ISO 27001 có đề cập đến việc đảm bảo an ninh nhân Đây việc cần làm nhằm giảm rủi ro ăn cắp, gian lận lạm dụng lỗi người Chúng nhằm giúp đảm bảo người dùng trang bị kiến thức mối đe dọa an ninh thơng tin có liên quan giảm thiểu từ bất thường sai chức an ninh giúp kiểm soát từ bất thường phát sinh An ninh môi trường vật lý Việc ngăn cản truy cập vật lý không phép, can thiệp phá hủy đến nguồn tài nguyên thông tin mà doanh nghiệp có điều quan trọng Lĩnh vực giúp hạn chế phá hủy, mát công nhằm làm thông tin hoạt động kinh doanh Ngăn cản việc ăn cắp thông tin cơng từ bên ngồi xây dựng quy trình hỗ trợ xử lý thơng tin Quản lý tác nghiệp truyền thông Hỗ trợ xử lý thông tin đúng, đảm bảo tác nghiệp bảo mật, bảo vệ nguyên vẹn phần mềm giảm thiểu rủi ro lỗi hệ thống Duy trì sẵn sàng ngun vẹn q trình xử lý thơng tin dịch vụ truyền thông giúp bảo vệ sở hạ tầng hỗ trợ, đảm bảo an toàn thông tin mạng ngăn cản phá hủy tài sản, làm gián đoạn hoạt động kinh doanh Kiểm soát truy cập Việc truy cập dù vật lý hay không gian mạng trực tuyến cần phải kiểm soát chặt chẽ Việc giúp ngăn chặn truy cập trái phép đảm bảo quyền truy cập đến từ hệ thống thông tin cấp quyền, cấp phát tài nguyên trì cách hợp lý Bảo vệ dịch vụ mạng, đảm bảo an ninh thông tin dùng phương tiện điện thoại máy tính di động Duy trì phát triển hệ thống Việc đảm bảo trì hệ thống an ninh thơng tin vận hành thông suốt điều quan trọng ISMS có nêu việc điều chỉnh, ngăn cản, lạm dụng liệu người dùng hệ thống ứng dụng giúp đảm bảo tính xác thực, tính tin cậy tính tồn vẹn thơng tin Quản lý liên tục kinh doanh Bảo vệ trình kinh doanh quan trọng từ hiểm họa lỗi phát sinh, chống lại ngưng trệ hoạt động kinh doanh Tuân thủ Tuân thủ quy định, pháp luật, nghĩa vụ hợp đồng, tránh vi phạm luật cơng dân hình Đảm bảo tuân thủ hệ thống với sách an ninh chuẩn Giảm thiểu trở ngại đến trình đánh giá hệ thống tăng tối đa hiệu Trình tự thiết lập, vận hành, xem xét, trì, cải tiến ISMS - số kinh nghiệm Hiện Việt Nam việc áp dụng hệ thống ISMS hệ thống ISO 27001 triển khai ngày nhiều Hoạch định ISMS Việc cam kết xây dựng thành công hệ thống ISMS điều quan trọng Đại diện ban lãnh đạo An ninh thông tin (Giám đốc An ninh thông tin) lãnh đạo cao Tổ chức Đây yếu tố định thành công ISMS chứng cho khách hàng bên quan tâm biết việc thực cam kết Tổ chức thiết lập, trì, xem xét cải tiến ISMS Xác định phạm vi, giới hạn áp dụng ISMS: Đây cơng việc q trình xây dựng ISMS Tùy thuộc vào quy mô phức tạp hoạt động sản xuất, kinh doanh cung cấp dịch vụ mà Tổ chức xác định phạm vi áp dụng, số lượng địa điểm áp dụng lộ trình triển khai áp dụng ISMS phải đảm bảo yêu cầu sau: - Phù hợp với yêu cầu chế định pháp định, yêu cầu khách hàng kiểm sốt an ninh thơng tin - Phù hợp với đặc điểm nguồn nhân lực tiềm lực tài - Thực cam kết Tổ chức với bên quan tâm Việc xây dựng sách ISMS bước đầu hệ thống đảm bảo an tồn thơng tin doanh nghiệp Chính sách an ninh thơng tin văn cơng bố cam kết lâu dài việc thực trì ISMS tổ chức tới bên liên quan Những sách an ninh thơng tin bước thực thông qua việc thực mục tiêu kiểm soát hoạt động kiểm soát ISMS Tổ chức Thiết lập, thực vận hành ISMS Để vận hành hệ thống ISMS cách tốt việc xác định tài sản giá trị tài sản phân tích – lượng hóa rủi ro cần quan tâm đủ Việc xử lý rủi ro xảy hệ thống tài sản tổ chức cần phải được: Liệt kê tất tài sản, xác định giá trị, rủi ro xuất (rủi ro sở hữu tài sản, điểm yếu, mối đe đọa, độ tin cậy, tính tồn vẹn, tính sẵn sàng), xây dựng biện pháp kiểm soát, đo lường, đánh giá tính hiệu lực phương pháp kiểm sốt, nhận biết rủi ro cịn sót lại theo u cẩu ISO/IEC 27001:2005  Kinh nghiệm đơn vị áp dụng hiệu ISMS cho thấy: - Mọi quy trình kiểm sốt ISMS tn thủ mơ hình PDCA - Sử dụng cơng cụ tiêu chuẩn ISO/IEC 27000 có hiệu áp dụng tiêu chuẩn ISO/IEC 27005: 2007 để quản lý rủi ro, tiêu chuẩn ISO/IEC 27004:2007 để đo lường ISMS - Tập trung đầu tư hạ tầng kỹ thuật, công nghệ để giảm rủi ro từ mối đe dọa Ví dụ: xây dựng vành đai an ninh vật lý – môi trường, giải pháp công nghệ bảo vệ sở liệu (các biện pháp kiểm soát quyền truy cập – phần mềm ngăn chặn quyền truy cập trái phép, chống truy cập từ bên ngoài, phần mềm mã hóa sở liệu, xác thực người dùng, chữ ký điện tử chứng thực điện tử, kiểm soát thiết bị ngoại vi ) - Thực có hiệu cam kết sách an ninh thơng tin Cần thực sách an ninh thông tin cam kết lãnh đạo đơn vị nhằm xây dựng 11 mục tiêu kiểm soát kiểm soát theo yêu cầu phụ lục A tiêu chuẩn Thiết lập hệ thống quy trình, hướng dẫn công việc, lưu hồ sơ theo yêu cầu tiêu chuẩn Đào tạo nguồn nhân lực để thực hiện, vận hành, giám sát, xem xét, trì cải tiến ISMS Đây giai đoạn tốn nhiều thời gian, cơng sức đơn vị, thể trí tuệ Tổ chức 1.2 Tại thực ISMS Theo tiêu chuẩn ISO/IEC 27001: 2013, thông tin hệ thống, quy trình, cán liên quan tài sản tổ chức Tất tài sản có giá trị quan trọng hoạt động tổ chức cần bảo vệ thích hợp Do thông tin tồn lưu trữ nhiều hình thức khác nhau, nên tổ chức phải có biện pháp bảo vệ phù hợp để hạn chế rủi ro Bên cạnh rủi ro ATTT bị cơng phá hoại có chủ đích, tổ chức gặp phải rủi ro thơng tin nếu: Các quy trình quản lý, vận hành không đảm bảo; Việc quản lý quyền truy cập chưa kiểm tra xem xét định kỳ; Nhận thức nhân viên việc sử dụng trao đổi thơng tin chưa đầy đủ… Do đó, ngồi biện pháp kỹ thuật, tổ chức cần xây dựng áp dụng sách, quy định, quy trình vận hành phù hợp để giảm thiểu rủi ro Hệ thống quản lý ATTT (ISMS) giúp tổ chức thực việc kiểm soát định hướng cho hoạt động đảm bảo ATTT Việc Hệ thống vận hành tốt giúp công tác đảm bảo ATTT tổ chức trì liên tục, xem xét đánh giá định kỳ khơng ngừng cải tiến để đối phó với rủi ro phát sinh Các hoạt động đảm bảo ATTT tổ chức mang tính hệ thống, giảm phụ thuộc vào cán thực thi xem xét, đánh giá để nâng cao hiệu Với mức độ nghiêm trọng ngày tăng vi phạm liệu giới số hóa ngày nay, ISMS thiết yếu xây dựng an ninh mạng tổ chức Một số lợi ích ISMS bao gồm: - Tăng khả phục hồi sau công: ISMS cải thiện khả chuẩn bị, ứng phó phục hồi sau công mạng - Quản lý tất liệu bạn nơi: Là khung quản lý trung tâm cho thông tin tổ chức, ISMS cho phép bạn quản lý thứ nơi Tổ chức chứng nhận ISO NQA Việt Nam - Dễ dàng bảo mật dạng thông tin: Cho dù bạn muốn bảo vệ thông tin tảng đám mây hay thông tin kỹ thuật số, ISMS xử lý loại liệu - Giảm chi phí bảo mật thơng tin: Với phương pháp đánh giá phòng ngừa rủi ro ISMS cung cấp, tổ chức giảm chi phí thêm lớp cơng nghệ phịng vệ sau công mạng để hoạt động 1.3 Tiêu chuẩn ISO 27001 1.3.1 Lịch sử hình thành ISO 27001-2013 ISO/IEC 27000 tiêu chuẩn phát triển nhằm hỗ trợ tổ chức bảo vệ an toàn tài sản thơng tin mình, thơng qua việc quản lý tính án tồn tài sản thơng tin thơng tin tài chính, sở hữu trí tuệ, thông tin nhân thông tin tổ chức ủy thác cho bên thứ ba Hình 1-2 khái quát nhóm tiêu chuẩn thành phần tiêu chuẩn ISO/IEC 27000 ISO/IEC 27001 tiêu chuẩn quan trọng tiêu chuẩn ISO/IEC 27000, đưa yêu cầu hệ thống quản lý an tồn thơng tin Tiền thân ISO/IEC 27001 tiêu chuẩn quản lý an tồn thơng tin BS 7799 Viện Tiêu chuẩn Anh quốc (British Standards Institute – BSI) Tháng 12/2000, tiêu chuẩn BS 7799-1 Tổ chức Tiêu chuẩn hố quốc tế (ISO) thức chấp nhận ban hành thành tiêu chuẩn quốc tế ISO/IEC 17799:2000 Năm 2005, tiêu chuẩn ISO/IEC 17799: 2000 sửa đổi ban hành thành phiên tiêu chuẩn ISO/IEC 27001: 2005: Công nghệ thông tin – Hệ thống quản lý an tồn thơng tin – Các yêu cầu Tháng 10/2013, phiên thứ hai – ISO/IEC 27001:2013 ban hành để thay cho phiên ISO / IEC 27001:2005, xuất phát từ hai yếu tố tác động , thứ , yêu cầu từ việc áp dụng Phụ lục / Annex SL năm 2012 ISO việc chuẩn hóa , thống khái niệm , thuật ngữ cấu trúc tiêu chuẩn hệ thống quản lý ISO 1.3.2 Phạm vi, mục đích, đối tượng áp dụng tiêu chuẩn iso/ iec 27001 ISO/IEC 27001 áp dụng loại hình tổ chức (doanh nghiệp sản xuất, dịch vụ, thương mại, quan phủ, tổ chức phi phủ …) Tiêu chuẩn quy định yêu cầu việc thiết lập, thực hiện, vận hành, giám sát, xem xét, trì cải tiến hệ thống quản lý an tồn thơng tin (ISMS) dạng văn bối cảnh rủi ro liên quan đến trình kinh doanh tác nghiệp tổng thể tổ chức Tiêu chuẩn quy định cụ thể yêu cầu việc thực biện pháp kiểm sốt an tồn tương thích với nhu cầu tổ chức Mục đích cuối hệ thống nhằm bảo vệ tài sản thông tin tạo lòng tin cho bên quan tâm Các mục đích cụ thể việc áp dụng ISO/IEC 27001-2013:  Được sử dụng nội tổ chức để triển khai yêu cầu mục tiêu an toàn thông tin;  Được xem cách để đảm bảo rủi ro an tồn thơng tin quản lý có hiệu chi phí;  Để đảm bảo tuân thủ pháp luật, chế định;  Tạo khuôn khổ cho việc thực quản lý biện pháp kiểm soát nhằm đảm bảo đạt mục tiêu an tồn thơng tin cụ thể tổ chức;  Hỗ trợ việc định nghĩa q trình quản lý an tồn thơng tin mới;  Nhận biết làm rõ trình quản lý an tồn thơng tin có tổ chức;  Được lãnh đạo sử dụng để xác định tình trạng hoạt động quản lý an tồn thông tin  Được chuyên gia đánh giá nội chuyên gia đánh bên sử dụng để xác định mức độ tuân thủ theo sách, định hướng tiêu chuẩn mà tổ chức chấp nhận để thực hiện;  Để cung cấp thông tin liên quan đến sách, định hướng, tiêu chuẩn thủ tục an tồn thơng tin đến đối tác kinh doanh tổ chức khác có tương tác với trình tổ chức;  Để cung cấp thông tin việc đảm bảo an tồn thơng tin đến khách hàng tổ chức Những lợi ích việc áp dụng ISMS theo ISO/IEC 27001 ISO 27001: 2013 áp dụng cho tổ chức có nhu cầu bảo vệ thơng tin Việc triển khai Hệ thống ISMS theo ISO 27001 giúp tổ chức đạt lợi ích sau: Đảm bảo ATTT tổ chức, đối tác khách hàng Giúp cho hoạt động tổ chức thông suốt an toàn Giúp nhân viên tuân thủ việc đảm bảo ATTT hoạt động nghiệp vụ thường ngày Giúp hoạt động đảm bảo ATTT ln trì cải tiến Các biện pháp kỹ thuật sách tuân thủ xem xét, đánh giá, đo lường hiệu cập nhật định kỳ Đảm bảo hoạt động tổ chức không bị gián đoạn cố liên quan đến ATTT Nâng cao uy tín tổ chức, tăng sức cạnh tranh, tạo lòng tin với khách hàng, đối tác Thúc đẩy q trình tồn cầu hóa tăng hội hợp tác quốc tế Những lợi ích việc thực ISMS chủ yếu có từ việc giảm rủi ro ATTT (ví dụ giảm khả xảy / tác động gây cố ATTT) Cụ thể là, lợi ích thừa nhận tổ chức, doanh nghiệp nhằm đạt thành công bền vững thông qua việc chấp nhận áp dụng ISMS theo ISO / IEC 27001 bao gồm: Tạo khuôn khổ cấu trúc để hỗ trợ cho việc quy định, thực hiện, vận hành trì hệ thống quản lý ATTT tồn diện, hiệu chi phí, tạo thêm giá trị cho khách hàng, bên quan tâm cho tổ chức), quán đồng nhằm thỏa mãn nhu cầu tổ chức Hỗ trợ cho lãnh đạo tổ chức việc quản lý vận hành cách quán, có trách nhiệm hoạt động quản lý ATTT, dựa tảng quản lý rủi ro tổ chức, kể việc giáo dục đào tạo cho chủ thể hệ thống trình nghiệp vụ tổ chức, doanh nghiệp quản lý ATTT; Thúc đẩy việc áp dụng thực hành tốt ATTT chấp nhận toàn cầu, tạo hội để tổ chức, doanh nghiệp tiếp cận chấp nhận áp dụng, cải tiến biện pháp kiểm soát phù hợp với tình bối cảnh cụ thể mình, để trì biện pháp kiểm sốt trước thay đổi từ nội bên ngoài; Tạo lòng tin cho khách hàng, đối tác kinh doanh hệ thống quản lý ATTT tuân thủ, phù hợp tiêu chuẩn thừa nhận quốc tế, đối tác yêu cầu chứng nhận phù hợp hệ thống quản lý ATTT theo yêu cầu ISO / IEC 27001 tổ chức chứng nhận công nhận; Thỏa mãn nhu cầu mong đợi xã hội khía cạnh ATTT, kể việc đáp ứng, tuân thủ yêu cầu pháp luật; Đạt hiệu quản lý kinh tế đầu tư cho quản lý ATTT 1.3.2.Các yêu cầu Tiêu chuẩn ISO 27001: 2013 Khái quát Tiêu chuẩn Bộ tiêu chuẩn ISO 27001 hệ thống tiêu chuẩn quốc tế hệ thống quản lý an ninh thông tin Việc áp dụng ISO 27001 giúp quản lý an ninh thông tin cách hiệu Theo tiêu chuẩn có đề cập thơng tin bao gồm liệu lưu lại dạng điện tử; liệu in – liệu mềm liệu cứng Việc tổ chức/ doanh nghiệp áp dụng ISO 27001 giúp bạn xác định loại thông tin xác định mối nguy, rủi ro xảy Sau thiết lập hệ thống, thiết lập kiểm sốt quy trình để giảm thiểu rủi ro ISO 27001 phù hợp với quy mô tổ chức; công ty – doanh nghiệp áp dụng lĩnh vực kinh tế khác Tiêu chuẩn quốc tế ISO/IEC 27001: 2013 cung cấp mơ hình thiết lập, triển khai, vận hành, giám sát, xem xét, trì nâng cấp Hệ thống ISMS Xây dựng Hệ thống ISMS định chiến lược tổ chức Thiết kế triển khai Hệ thống ISMS tổ chức phụ thuộc vào mục tiêu, yêu cầu ATTT cần phải đạt được, quy trình vận hành, quy mơ cấu tổ chức Hệ thống ISMS đòi hỏi phải xem xét, cập nhật để phù hợp với thay đổi tổ chức nâng cao mức độ an toàn với Hệ thống lưu trữ, xử lý thơng tin Ngồi ra, tổ chức cần cân nhắc chi phí đầu tư xây dựng triển khai ISMS phù hợp với nhu cầu đảm bảo ATTT ISO/IEC 27001 đặc tả yêu cầu cần thiết cho việc thiết lập, vận hành giám sát hoạt động ISMS; đưa nguyên tắc cho việc khởi tạo, thực thi, trì cải tiến ISMS Tiêu chuẩn đưa quy tắc bảo mật thông tin đánh giá tuân thủ phận bên tổ chức, xây dựng yêu cầu bảo mật thông tin mà đối tác, khách hàng cần phải tuân thủ làm việc với tổ chức Đây công cụ để nhà lãnh đạo thực giám sát, quản lý Hệ thống thông tin, giảm thiểu rủi ro tăng cường mức độ an toàn, bảo mật cho tổ chức Các yêu cầu tiêu chuẩn ISO/IEC 27001: 2013 - 07 điều khoản (từ phần đến phần 10 Tiêu chuẩn): đưa yêu cầu bắt buộc công việc cần thực việc thiết lập, vận hành, trì, giám sát nâng 10 − Áp dụng hệ thống quản lý an tồn thơng tin theo yêu cầu tiêu chuẩn ISO 27001:2013  Thực đánh giá nội lần  Khắc phục không phù hợp  Họp xem xét lãnh đạo  Thực hành động khắc phục phòng ngừa cải tiến: xem xét tổng kết nhằm đưa phương pháp áp dụng hệ thống hiệu  Đánh giá nội lần xem xét tính hiệu lực hiệu hệ thống, xem lại hệ thống quản lý an tồn thơng tin lần cuối trước đăng ký chứng nhận b Điều kiện thứ 2: Đăng ký cấp chứng nhận ISO 27001 Đăng ký cấp chứng nhận ISO 27001 tổ chức chứng nhận Sau đăng ký xong tổ chức chứng nhận tiến hành đánh giá hệ thống quản lý an tồn thơng tin theo tiêu chuẩn ISO 27001 Nếu hệ thống quản lý an tồn thơng tin doanh nghiệp phù hợp yêu cầu tiêu chuẩn ISO 27001 tổ chức chứng nhận cấp cho doanh nghiệp giấy chứng nhận ISO 27001 (chứng ISO 27001) c Điều kiện thứ ba: Duy trì hệ thống hiệu lực chứng nhận ISO 27001 Tiếp tục trì thực hệ thống quản lý an tồn thơng tin theo u cầu tiêu chuẩn ISO 27001 hiệu lực giấy chứng nhận ISO 27001 Sau đạt chứng nhận ISO 27001; doanh nghiệp cần thường xuyên cải tiến trì việc áp dụng hệ thống 2.6.2 Hiệu lực chứng nhận ISO 27001 a Chứng nhận ISO 27001 có hiệu lực bao lâu? Hiệu lực giấy chứng nhận ISO 27001 khoảng thời gian từ ngày cấp chứng nhận ISO 27001 đến ngày hết hạn giấy chứng nhận ISO 27001 có giá trị pháp lý bắt buộc doanh nghiệp phải thi hành chứng nhận ISO 27001 có giá trị thời gian Hầu hết chứng nhận ISO có hiệu lực năm kể từ ngày cấp Chứng nhận ISO 27001 Trong năm đó, tổ chức chứng nhận tiến hành đánh giá giám sát hệ thống quản lý an tồn thơng tin doanh nghiệp Mỗi năm lần b Giấy chứng nhận ISO 27001 bị thu hồi trường hợp nào? Trường hợp doanh nghiệp không thi hành (áp dụng, vận hành hệ thống theo tiêu chuẩn ISO 27001) hiệu lực giấy chứng nhận ISO 27001 khơng có giá trị bị tổ 27 chức chứng nhận thu hồi Nhiều doanh nghiệp sau đạt chứng nhận ISO 27001 khơng trì áp dụng hệ thống dẫn đến hoạt động trì trệ, vận hành sai, tổ chức chứng nhận giám sát doanh nghiệp bị thu hồi hiệu lực giấy chứng nhận khơng cịn giá trị c Chi phí chứng nhận ISO 27001 Với doanh nghiệp khác chi phí chứng nhận ISO 27001 khác chi phí tùy thuộc vào quy mơ, phạm vi, số lượng sản phẩm doanh nghiệp, chi phí xây dựng áp dụng chi phí nhân tham gia, chi phí đăng ký, Do đó, doanh nghiệp nên hoạch định rõ kinh phí cho phù hợp với doanh nghiệp Doanh nghiệp tham khảo chi phí chứng nhận ISO 27001 với giá tốt nhất, dịch vụ uy tín, d Thời gian cấp chứng nhận ISO 27001  Thời gian xây dựng áp dụng tiêu chuẩn ISO 27001 Tùy theo thời gian thực áp dụng tiêu chuẩn ISO 27001 doanh nghiệp, nhiều doanh nghiệp triển khai thực đến tháng, có nhiều doanh nghiệp khoảng thời gian lớn  Thời gian cấp Chứng ISO 27001:2013 Thời gian cấp chứng nhận ISO 27001 thông thường ngắn quãng thời gian thực Sau đăng ký chứng nhận ISO tổ chức chứng nhận tiến hành điều chun gia có trình độ chun mơn phù hợp xuống đánh giá hệ thống doanh nghiệp Nếu kết đánh giá hệ thống quản lý an toàn thông tin doanh nghiệp phù hợp với yêu cầu tiêu chuẩn ISO 27001 doanh nghiệp cấp giấy chứng nhận sau vài ngày Nếu kết đánh giá hệ thống quản lý doanh nghiệp không phù hợp với yêu cầu tiêu chuẩn ISO 27001 doanh nghiệp phải tiến hành khắc phục hành động khơng phù hợp vịng đến tháng mà doanh nghiệp khơng khắc phục q trình đánh giá kết thúc doanh nghiệp khơng cấp chứng nhận ISO 27001 28 Thời gian cấp chứng ISO 27001 phụ thuộc vào lực tổ chức chứng nhận Nếu tổ chức chứng nhận có đầy đủ, số lượng chun gia, trình độ chun mơn phù hợp thời gian rút ngắn e Chứng nhận hệ thống quản lý ATTT theo ISO 27001:2013 có hiệu lực thời gian bao lâu? Sau đạt chứng nhận, có giá trị ba năm Tuy nhiên, ISMS cần quản lý trì suốt thời gian Các đánh giá viên từ CB tiếp tục thực chuyến giám sát hàng năm chứng nhận hiệu lực Tổ chức, doanh nghiệp cần đăng ký chứng nhận hệ thống quản lý ATTT theo tiêu chuẩn ISO 27001:2013 khơng? • Giống tiêu chuẩn hệ thống quản lý ISO khác, chứng nhận ISO / IEC 27001 khơng bắt buộc • Một số tổ chức chọn thực tiêu chuẩn để hưởng lợi từ thực tiễn tốt mà tiêu chuẩn có tổ chức khác định họ muốn chứng nhận để trấn an khách hàng khách hàng khuyến nghị tiêu chuẩn tuân thủ 29 30 CHƯƠNG 3: THIẾT LẬP HỆ THỐNG ISO/IEC 27001 3.1 Điều khoản tiêu chuẩn ISO 27001 • • • • • • • • Phạm vi áp dụng Tài liệu viện dẫn Thuật ngữ định nghĩa Bối cảnh tổ chức Hiểu tổ chức bối cảnh tổ chức Hiểu nhu cầu mong đợi bên liên quan Xác định phạm vi hệ thống quản lý an tồn thơng tin Hệ thống quản lý an tồn thơng tin Sự lãnh đạo Sự lãnh đạo cam kết Chính sách Vai trị, trách nhiệm quyền hạn tổ chức Hoạch định Hành động giải rủi ro hội (Đánh giá rủi ro an tồn thơng tin; Xử lý rủi ro an tồn thơng tin) • Các mục tiêu an tồn thơng tin hoạch định để thực mục tiêu Hỗ trợ • Nguồn lực • Năng lực • Nhận thức • Trao đổi thơng tin • Tạo lập cập nhật, kiểm sốt thơng tin dạng văn Vận hành • Hoạch định kiểm sốt vận hành • Đánh giá rủi ro an tồn thơng tin • Xử lý rủi ro an tồn thơng tin Đánh giá hiệu • Theo dõi, đo lường, phân tích đánh giá tuân thủ • Đánh giá nội • Sốt xét lãnh đạo 10 Cải tiến • Sự không phù hợp hành động khắc phục • Cải tiến liên tục 3.2 Quy trình áp dụng iso 27001:2013 vào doanh nghiệp công nghệ Tại doanh nghiệp, việc xây dựng, triển khai ISMS có giải pháp khác Nó phụ thuộc vào quy mơ, đặc trưng tổ chức yêu cầu tổ chức Tuy nhiên, triển khai Hệ thống quản lý an tồn thơng tin theo ISO 27001 Mỗi tổ chức cần phải thực bước sau để đạt chứng nhận ISO 27001: 31 Bước 1: Khảo sát trạng tổ chức Khảo sát nhằm nắm bắt thực trạng quản lý ATTT tổ chức Đồng thời nắm bắt yêu cầu, mong muốn Lãnh đạo cho việc quản lý ATTT Bước 2: Lập kế hoạch xây dựng ISMS Trên sở kết khảo sát trạng Doanh nghiệp BRAVOLAW đề xuất kế hoạch để xây dựng ISMS cho phù hợp với thực tế tổ chức Bước 3: Xây dựng hệ thống tài liệu triển khai áp dụng Xây dựng sách, quy định, quy trình ATTT ban hành văn Sau ban hành, thực áp dụng yêu cầu, điều khoản sách, quy định vào hệ thống CNTT với phạm vi đưa văn ban hành Bước 4: Thực đánh giá nội tổ chức Việc giúp phát điểm không phù hợp với yêu cầu tiêu chuẩn, sách, quy định Từ đó, tổ chức đưa kế hoạch khắc phục điểm không phù hợp Đồng thời, giai đoạn chuẩn bị cho việc đánh giá độc lập tổ chức đánh giá cấp chứng nhận chuyên nghiệp Bước 5: Đánh giá chứng nhận Tổ chức đánh giá độc lập thực đánh giá hệ thống ISO 27001 đơn vị Việc đánh giá xem Doanh nghiệp có đáp ứng yêu cầu bắt buộc tiêu chuẩn hay không BRAVOLAW tiến hành cấp Chứng nhận Hệ thống quản lý ATTT đơn vị đáp ứng điều kiện 3.3 Các giai đoạn triển khai ISO 27001 Điều kiện để cấp chứng nhận ISO 27001 triển khai, áp dụng ISO 27001 vào ISMS doanh nghiệp Triển khai ISO 27001 theo giai đoạn hướng dẫn giúp doanh nghiệp, tổ chức thực quản lý an tồn thơng tin theo ISO 27001 cách hiệu ISO 27001 triển khai theo chu trình PDCA (Plan - Do - Check - Act) - Chu trình phù hợp với tất tiêu chuẩn quốc tế 32 kiểm tra được: ISO 18001, 9001 14001 ISO/IEC 27001:2013 quy định bước PDCA sau đây: • • • • • • Xác định sách ISMS Xác định phạm vi ISMS Thực đánh giá rủi ro bảo mật Quản lý rủi ro xác định Chọn điều khiển triển khai áp dụng Chuẩn bị SoA 3.2.1 Xác định Mục tiêu Kinh doanh Cấp quản lý cần xác định mục tiêu ưu tiên bên liên quan phải tham gia Các mục tiêu bắt nguồn từ sứ mệnh, kế hoạch chiến lược mục tiêu CNTT cơng ty Ví dụ như: • Tăng doanh thu lợi nhuận cách cung cấp mức bảo mật cao cho liệu nhạy cảm khách hàng • Nhận dạng tài sản thơng tin đánh giá rủi ro hiệu • Đảm bảo với khách hàng đối tác cam kết tổ chức bảo mật thông tin, quyền riêng tư bảo vệ liệu 3.2.2 Cam kết hỗ trợ quản lý Quản lý phải cam kết thiết lập, lập kế hoạch, thực hiện, vận hành, giám sát, xem xét, trì, cải tiến ISMS Sự hỗ trợ ban quan lý thể hoạt động sau: • Mục tiêu kế hoạch an tồn thơng tin • Thơng báo cho tổ chức tầm quan trọng việc tuân thủ sách bảo mật • • • • • thơng tin Đủ nguồn lực để quản lý, phát triển, trì triển khai ISMS Xác định mức độ rủi ro chấp nhận Đánh giá ban quản lý ISMS theo khoảng thời gian định Đảm bảo nhân viên có liên quan đào tạo thích hợp Bổ nhiệm người có lực để đảm nhiệm vai trò trách nhiệm mà họ giao 3.2.3 Xác định phạm vi ISMS 33 Phạm vi ISMS bao gồm quy trình, đơn vị kinh doanh nhà cung cấp nhà thầu bên thuộc phạm vi thực phải định để chứng nhận xảy Phạm vi nên quản lý nên bao gồm phận tổ chức Lợi ích việc xác định phạm vi: • Phạm vi lựa chọn giúp đạt mục tiêu kinh doanh xác định • Quy mơ hoạt động tổng thể tổ chức tham số tích hợp cần thiết để xác định mức độ phức tạp quy trình tn thủ • Để tìm quy mơ hoạt động thích hợp, tổ chức cần xem xét số lượng nhân viên, quy trình kinh doanh, địa điểm làm việc sản phẩm dịch vụ cung cấp (Phạm vi) 3.2.4 Quản lý rủi ro Để đáp ứng yêu cầu ISO / IEC 27001, công ty cần xác định rủi ro phương pháp đánh giá rủi ro Các điểm cần xem xét: • Phương pháp sử dụng để đánh giá rủi ro tài sản thông tin xác định • Những rủi ro chấp nhận đó, cần giảm thiểu • Quản lý rủi ro tồn đọng thơng qua sách, thủ tục kiểm soát cân nhắc kỹ lưỡng Sau xác định rủi ro gây vấn đề, cân nhắc phương pháp xử lý rủi ro: Xử lý rủi ro cách áp dụng biện pháp kiểm sốt bảo mật thơng tin quy định ISO 27001 Chấm dứt rủi ro cách tránh hoàn toàn Chia sẻ rủi ro (với hợp đồng bảo hiểm thông qua thỏa thuận với bên khác) Chấp nhận rủi ro (nếu khơng gây mối đe dọa đáng kể) Mọi rủi ro mà doanh nghiệp xử lý phải ghi lại SoA 3.2.5 Thiết lập sách thủ tục để kiểm soát rủi ro Đối với biện pháp kiểm sốt thơng qua trình bày SoA, tổ chức cần tuyên bố sách thủ tục chi tiết tài liệu trách nhiệm để xác định vai trò người dùng nhằm thực quán hiệu sách thủ tục Tài liệu sách thủ tục yêu cầu ISO / IEC 27001 Danh sách sách thủ tục áp dụng phụ thuộc vào cấu trúc, địa điểm tài sản tổ chức 34 3.2.6 Phân bổ nguồn lực đào tạo nhân viên Quy trình ISMS nêu bật cam kết quan trọng ban quản lý: đủ nguồn lực để quản lý, phát triển, trì thực ISMS Cần phải kiểm tra xem nhân viên vận hành tương tác với biện pháp kiểm sốt họ có nhận thức nghĩa vụ bảo mật thơng tin không Điều cần thiết phải lập hồ sơ đào tạo để kiểm toán 3.2.7 Giám sát việc thực ISMS Khơng thể biết ISMS doanh nghiệp có hoạt động hay không trừ xem xét đánh giá định kỳ hệ thống Việc đánh giá định kỳ cần thực lần năm để theo dõi phát triển rủi ro xác định rủi ro xuất Mục tiêu q trình xem xét để xem liệu ISMS bạn có thực ngăn chặn cố bảo mật hay khơng Để hồn thành chu trình PDCA, lỗ hổng xác định đánh giá nội phải giải cách xác định biện pháp kiểm sốt khắc phục, phịng ngừa cần thiết tuân thủ công ty dựa phân tích lỗ hổng 3.2.8 Chuẩn bị cho Đánh giá chứng nhận Khi ISMS có, tổ chức nên xem xét đăng ký chứng nhận ISO 27001 từ tổ chức chứng nhận công nhận Đánh giá viên bên trước tiên kiểm tra tài liệu ISMS để xác định phạm vi nội dung ISMS Mục tiêu việc soát xét đánh giá có đầy đủ chứng tài liệu soát xét/ đánh giá gửi đến chuyên gia đánh giá để xem xét Các chứng tài liệu chứng minh hiệu hiệu lực ISMS triển khai tổ chức đơn vị kinh doanh 3.2.9 Đánh giá định kỳ Việc đánh giá định kỳ xác nhận tổ chức tuân thủ tiêu chuẩn sau nhận chứng nhận Như với tiêu chuẩn ISO khác, ISO 27001 tuân theo chu trình PDCA hỗ trợ ban quản lý ISMS biết doanh nghiệp tiến triển tốt chu trình Điều ảnh hưởng trực tiếp đến thời gian ước tính chi phí liên quan đến việc đạt tuân thủ 35 3.4 Quy trình chứng nhận hệ thống quản lý an ninh thông tin theo tiêu chuẩn iso 27001:2013 Sau trình vận hành triển khai đánh giá nội hoàn tất Doanh nghiệp cần phải lựa chọn cho tổ chức để đánh giá cấp chứng ISO 27001 Quy trình, thủ tục chứng nhận hệ thống quản lý ATTT theo tiêu chuẩn ISO 27001 gồm bước sau: Bước 1: Đăng ký chứng nhận ISO 27001 Để cấp giấy chứng nhận ISO 27001 hợp lệ, doanh nghiệp phải tiến hành đăng ký chứng nhận với tổ chức chứng nhận IS0 27001 Ở bước này, doanh nghiệp cần khai báo thông tin cần thiết theo yêu cầu, biểu mẫu mà tổ chức chứng nhận cung cấp để hoàn thiện hồ sơ đăng ký chứng nhận ISO 27001 Bước 2: Xem xét hợp đồng chuẩn bị đánh giá ISO 27001 Sau tiếp nhận đơn đăng ký chứng nhận ISO 27001 doanh nghiệp, tổ chức chứng nhận gửi hợp đồng đánh giá chứng nhận có kế hoạch chi phí chứng nhận cho doanh nghiệp Ở bước doanh nghiệp cần xem xét chuẩn bị đánh giá chứng nhận Bước 3: Đánh giá giai đoạn (Stage Audit) 36 Đánh giá giai đoạn đánh giá sơ Đánh giá viên xem xét tài liệu bạn để kiểm tra xem hệ thống ISMS phát triển phù hợp với tiêu chuẩn ISO 27001 hay chưa Doanh nghiệp phải trình bày chứng tất khía cạnh quan trọng ISMS theo yêu cầu tổ chức chứng nhận Bước 4: Đánh giá giai đoạn (Stage Audit) Đánh giá giai đoạn tiến hành cách lỹ lưỡng Tổ chức chứng nhận cử chuyên gia xuống trực tiếp sở để đánh giá thực trạng tuân thủ ISO 27001 doanh nghiệp Kết thúc trình đánh giá, báo cáo đánh giá gửi tới doanh nghiệp, ghi chép lại điểm chưa tuân thủ tiêu chuẩn để doanh nghiệp khắc phục thời gian quy định Bước 5: Thẩm xét hồ sơ ISO 27001 Ngoài hoạt động đánh giá trường, tổ chức chứng nhận tiến hành rà soát, thẩm duyệt kỹ tài liệu, quy trình, văn doanh nghiệp để chắn tiêu chuẩn ISO 27001 áp dụng cách hợp chuẩn Tổ chức chứng nhận có quyền yêu cầu doanh nghiệp bổ sung tài liệu cần thiết Bước 6: Cấp chứng ISO 27001 có hiệu lực vịng năm Sau có kết đánh giá chuyên gia đánh giá chứng nhận Tổ chức chứng nhận thẩm xét hồ sơ cấp giấy chứng nhận cho doanh nghiệp Tổ chức chứng nhận cấp giấy chứng nhận ISO 27001 có hiệu lực 03 năm thời hạn giám sát tổi thiểu 12 tháng/lần cho doanh nghiệp sau xác minh doanh nghiệp hoàn thiện hành động khắc phục (nếu có) Bước & 8: Đánh giá giám sát định kỳ lần năm & tái chứng nhận Theo quy định chứng nhận ISO 27001 có hiệu lực năm Trong suốt thời gian có hiệu lực chứng tổ chức chứng nhận tiến hành đánh giá giám sát định kỳ cho doanh nghiệp nhằm đảm bảo hệ thống quản lý an tồn thơng tin chứng nhận tuân thủ yêu cầu tiêu chuẩn ISO 27001 ln có hiệu lực Về chu kỳ giám sát hàng năm thường 12 tháng tùy theo quy định tổ chức chứng nhận và/hoặc thỏa thuận khách hàng tổ chức chứng nhận Sau năm hết hiệu lực doanh nghiệp bạn muốn trì chứng nhận tổ chức/doanh nghiệp phải đăng ký đánh giá lại Cuộc đánh giá lại tiến hành tương tự đánh giá chứng nhận lần đầu Chứng cấp lại có hiệu lực năm Đánh giá giám sát chứng nhận lại 37 • • • • Đánh giá giám sát ISO 27001 Tổ chức chứng nhận thực đánh giá giám sát định kỳ Số lần đánh giá giám sát thông thường lần (12 tháng/lần) Đánh giá chứng nhận lại ISO 27001 Giấy chứng nhận có hiệu lực vòng 03 năm Hết 03 năm, tổ chức chứng nhận thực đánh giá chứng nhận lại Nếu đánh giá đạt yêu cầu, Tổ chức chứng nhận cấp lại 01 Giấy chứng nhận có hiệu lực năm 3.5 Quy trình bàn giao nhận chứng nhận iso 27001 Quy trình chứng nhận ISO 27001 BRAVOLAW thực qua bước sau Các bước đảm bảo việc chứng nhận mang tính khách quan, theo yêu cầu tiêu chuẩn Bước 1: Trao đổi thơng tin Mục đích trao đổi thông tin tổ chức chứng nhận khách hàng nhằm đảm bảo thông tin trao đổi trước 02 bên thống nhất, đảm bảo việc đánh giá chứng nhận theo yêu cầu Tiêu chuẩn khách hàng Các thông tin cần trao đổi bao gồm: – Các yêu cầu việc chứng nhận – Các bước thủ tục chứng nhận – Tiêu chuẩn ứng dụng – Các chi phí dự tính – Chương trình kế hoạch làm việc Bước 2: Chuẩn bị nộp hồ sơ – Xây dựng hệ thống tài liệu phù hợp chứng nhận ISO 27001 – Soạn hồ sơ đầy đủ đăng ký chứng nhận 38 – Nộp hồ sơ bàn giao chứng nhận đến tận tay khách hàng Bước 3: Giấy chứng nhận ISO 27001:2013 Giấy chứng nhận ISO 27001:2013 chứng chứng minh Doanh nghiệp có hệ thống quản lý an tồn thơng tin đạt u cầu Sau Tổ chức chứng nhận thực đánh giá xác nhận hệ thống Doanh nghiệp phù hợp Doanh nghiệp tổ chức chứng nhận cấp 01 giấy chứng nhận có nội dung sau: Tên Tổ chức cấp chứng nhận Thông tin doanh nghiệp cấp giấy chứng nhận Tiêu chuẩn chứng nhận Phạm vi chứng nhận (lĩnh vực doanh nghiệp) Mã số chứng nhận; Ngày cấp chứng nhận; Ngày hết hạn Dấu chứng nhận Các thông tin khác cần thiết Giấy chứng nhận ISO 27001 có Hiệu lực vòng 03 năm Thời hạn giám sát 12 tháng 39 40 KẾT LUẬN Về nghiên cứu, tìm hiểu hệ thống quản lý theo chuẩn ISO 27001: đưa đầy đủ lý thuyết từ lịch sử phát triển, phạm vi, tiêu chuẩn liên quan kiểm soát, mục tiêu kiểm soát Lập hệ thống quản lý ATTT theo chuẩn ISO 27001 cách tiếp cận mang tính hệ thống để quản lý thơng tin nhạy cảm tổ chức nhằm trì đảm bảo ba thuộc tính an tồn thơng tin: Tính tin cậy, tính tồn vẹn, tính sẵn sàng Như ISO 27001 giúp cho tổ chức tạo hệ thống quản lý an tồn thơng tin chặt chẽ nhờ ln cải tiến nhằm đảm bảo an ninh khai thác thông tin cách hợp lý hiệu 2/ Về thử nghiệm xây dựng hệ thống an tồn thơng tin cho doanh nghiệp Đưa phương pháp xác định rủi ro, định nghĩa tài sản, nguy điểm yếu Từ tài sản, nguy cơ, điểm yếu lựa chọn mục tiêu kiểm sốt phù hợp để nhằm mục đích giảm bớt rủi ro xảy doanh nghiệ Kiến nghị hướng nghiên cứu tương lai Việc tổ chức hay doanh nghiệp tuân thủ đạt chứng ISO 27001 thừa nhận quốc tế việc đảm bảo an tồn thơng tin tổ chức Tuy nhiên, việc tuân thủ hay đạt được chứng ISO 27001 không khẳng định tổ chức an toàn tuyệt đối Do vậy, cần liên tục kiểm soát, đánh giá rủi ro, xác định mối đe dọa điểm yếu hệ thống để có hiểu biết tốt hệ thống thông tin, từ đưa giải pháp để giảm thiểu rủi ro Nên đánh giá hệ thống định kỳ tháng/1 lần để có cải tiến phù hợp với hệ thống quản lý an tồn thơng tin Đảm bảo tài sản thơng tin ln đáp ứng ba thuộc tính tính bảo mật, tính tồn vẹn tính sẵn sàng Hệ thống quản lý an tồn thơng tin nhiều tổ chức quan tâm đón nhận áp dụng Trong tương lai, tơi muốn nghiên cứu thêm phương pháp đánh giá rủi ro theo định lượng có nghĩa việc đánh giá rủi ro gây thiệt hại tiền mặt, để nhằm giúp cho tổ chức, doanh nghiệp có hình dung cụ thể thiệt hại, mát rủi ro gây Đồng thời nghiên cứu phương pháp đánh giá công nhận chứng ISO 27001 cho tổ chức, doanh nghiệp 41 ... Quy trình x? ?y dựng hệ thống isms theo tiêu chuẩn iso 27001:2013 Chương 3: Thiết lập hệ thống iso/ iec 27001 CHƯƠNG 1: TỔNG QUAN 1.1 Hệ thống quản lý thơng tin gì? Hệ thống quản lý thông tin (Information... tư cho quản lý ATTT 1.3.2.Các y? ?u cầu Tiêu chuẩn ISO 27001: 2013 Khái quát Tiêu chuẩn Bộ tiêu chuẩn ISO 27001 hệ thống tiêu chuẩn quốc tế hệ thống quản lý an ninh thông tin Việc áp dụng ISO 27001... 27000 ISO/ IEC 27001 tiêu chuẩn quan trọng tiêu chuẩn ISO/ IEC 27000, đưa y? ?u cầu hệ thống quản lý an tồn thơng tin Tiền thân ISO/ IEC 27001 tiêu chuẩn quản lý an tồn thơng tin BS 7799 Viện Tiêu chuẩn