I H C QU C GIA TP H CHÍ MINH I H C BÁCH KHOA N TR NG B O M T H TH NG THÔNG TIN T I T NG CÔNG TY C MAY VI T TI N Chuyên nghành: H TH NG THÔNG TIN QU N LÝ Mã s chuyên nghành: 60.34.48 LU TP H CHÍ MINH, tháng 06 2013 PH N I H C QU C GIA TP H CHÍ MINH I H C BÁCH KHOA N TR NG B O M T H TH NG THÔNG TIN T I T NG CÔNG TY C MAY VI T TI N Chuyên nghành: H th ng thông tin qu n lý Mã s : 60.34.48 LU N TP H CHÍ MINH, tháng 06 2013 PH N CƠNG TRÌNH C HOÀN THÀNH T I I H C BÁCH KHOA - HCM Cán b ng d n khoa h c: PGS TS ng Tr n Khánh (Ghi rõ h , tên, h c hàm, h c v ch ký) Cán b ch m nh n xét 1: TS Nguy ng (Ghi rõ h , tên, h c hàm, h c v ch ký) Cán b ch m nh n xét 2: TS Nguy n Thanh Bình (Ghi rõ h , tên, h c hàm, h c v ch ký) Lu ngày 19 tháng 07 cb ov t 2013 Thành ph n H n (Ghi rõ h , tên, h c hàm, h c v c a H ih P HCM m: ng ch m b o v lu TS Tr TS Nguy ng (PB1) TS Nguy n Thanh Bình (PB2) ng Tr n Khánh (UV) TS Lê Thanh Vân (TK) Xác nh n c a Ch t ch H ngành sau lu ã CH T CH H ng Khoa qu n lý chuyên c s a ch a (n u có) NG NG KHOA I H C QU C GIA TP.HCM I H C BÁCH KHOA C NG HÒA XÃ H I CH T NAM c l p - T - H nh phúc NHI M V LU N H tên h c viên: MSHV: 10320984 10/01/1970 nh Chuyên ngành: H Th ng Thông Tin Qu n Lý I Mã s : 60.34.48 TÀI: N TR NG B O M T H TH NG THÔNG TIN T I T NG CÔNG TY C PH N MAY VI T TI N II NHI M V VÀ N I DUNG: Th c hi n tr ng b o m t c a h th ng công ngh thông tin t i T ng Công ty C ph n May Vi t Ti n Bao g m vi c kh o sát, phân tích tr ng b o m t h th ng thông tin t i tr s hi n ng Công ty theo tiêu chu n ISO/IEC 27001:2005 III NGÀY GIAO NHI M V : 02/07/2012 IV NGÀY HOÀN THÀNH NHI M V : 21/06/2013 V CÁN B NG D N CÁN B NG D N (H tên ch ký) ng Tr n Khánh Tp HCM, ngày tháng 13 CH NHI M B ÀO T O (H tên ch ký) NG KHOA KHOA KH VÀ KT MÁY TÍNH (H tên ch ký) i L IC tài t t nghi t ng k t, áp d ng nh ng ki n th ng d ng th c ti c vào ng kinh nghi m th c t h u ích Qua th i gian th c hi is ng d n t n tình c a th y tài ng Tr n Khánh, c m t s kinh nghi m cho b n thân rút c m t s ki n th c b ph c v cho c ng c k t qu hôm nay, vô c - Ban Giám hi u Th y Cô công tác gi ng d y t i i H c Bách Khoa TP u ki n thu n l h c t p rèn luy n - Th y ng Tr n Khánh th c hi n hồn thành - trình h c t u ki n thu n l i nh t cho tài o anh ch Ti - ng d n t i T ng Công ty C ph n May Vi t tơi hồn thành lu b n bè ng nghi p c hi n lu su t Xin chân thành c Thanh Huy 06 ii TÓM T T LU An tồn thơng tin v c h u h t danh nghi p hi u Trong lu n tác gi ti n hành b o m t công ngh thông tin t i T ng Công ty C ph n May Vi t Ti n d a tiêu chu n ISO/IEC 27001:2005 T lý thuy t b tiêu chu n ISO/IEC 27001:2005 nh ng nghiên c u khoa h c, v i ý ki ho c này, tác gi ti n hành xây d th c hi K t qu c a lu ct không ph i k t qu c a vi c k t l i thành h c th c t giúp cho doanh nghi p s p tri n hành h th ng qu n lý an tồn thơng tin theo tiêu chu n ISO/IEC 27001:2005 th c hành t ABSTRACT Information security is an issue that most businesses today viewed as prime concern In this thesis, the author carried out an assessment the situation of IT (information technology) security at Viet Tien Garment Corporation based on criterion ISO/IEC 27001:2005 From the theoretical basis of the ISO/IEC 27001:2005 and scientific research in and outside the country, together with the comments of the experts working in this field, the author proceed to build assessment methods and conduct actual assessment The results of this thesis is not the result of the evaluation, is to conclude the real lesson to help businesses which are operating and about to operate better the information security management system (ISMS) per standard ISO/IEC 27001:2005 iii L Tôi tên , h c viên cao h c chuyên ngành H th ng Thông tin Qu n lý, Khoa Khoa h c K thu i h c Bách Khoa TP H Chí Minh, khóa 2010 - Cơng trình nghiên c u tơi th c hi n - Các s li u lu hoàn toàn trung th nghiên c u khác hay b t k c công b n truy n thông TP H Thanh Huy iv M CL C L IC i TÓM T T LU ii ABSTRACT ii L iii M C L C iv CÁC T VI T T T vi DANH M C CÁC B NG vii DANH M C CÁC HÌNH vii U 1.1 Gi i thi tài 1.1.1 Tình hình th gi i 1.1.2 Tình hình 1.1.3 Lý ch 1.2 1.3 Vi t Nam tài ng ph m vi nghiên c u M c tiêu c 1.4 1.5 tài 10 tài 11 K t c u c a lu 11 LÝ THUY T 12 2.1 An tồn thơng tin 12 2.2 Qu n lý r i ro an ninh thông tin 12 2.3 Gi i thi u v b ISO 27001 ISO 27002 12 2.3.1 L ch s phát tri n c a ISO 27001 ISO 27002 12 2.3.2 B tiêu chu n ISO/IEC 27001:2005 14 2.3.3 B tiêu chu n ISO/IEC 27002:2005 15 16 3.1 p d li u 16 3.3.1 16 3.3.2 p d li u 17 3.2 Thi t l p yêu c u n ki m soát 17 3.3 Kh o sát tình hình th c t t i T ng Công ty C ph n May Vi t Ti n 18 3.3.1 h t ng m ng t i T ng Công ty C ph n May Vi t Ti n 18 3.3.2 T ch c b o m t h th ng thông tin (ISMS) t i VTEC 23 3.3.3 Ch m v c a phòng ban 23 v 3.3.4 nh r 32 3.3.5 Ph 3.4 Thu th p thơng tin, phân tích h th ng theo ki m soát 36 3.4.1 H th ng tài li u sách an tồn thơng tin (ATTT) (Ki m sốt A.5) 36 3.4.2 Xây d ng t ch 3.4.3 Qu n lý tài s n (Ki m soát A.7) 36 33 m b o ATTT (Ki m soát A.6) 36 3.4.4 mb i (Ki m soát A.8) 37 3.4.5 m b o an tồn v ng (Ki m sốt A.9) 39 3.4.6 Qu n lý truy u hành (Ki m soát A.10) 42 3.4.7 Qu n lý truy c p (Ki m soát A.11) 47 3.4.8 Ti p nh n, phát tri n trì h th ng thơng tin (Ki m sốt A.12) 50 3.4.9 Qu n lý s c an tồn thơng tin (Ki m sốt A.13) 53 3.4.10 Qu n lý s liên t c c a ho ng nghi p v (Ki m soát A.14) 53 3.4.11 S tuân th (Ki m soát A.15) 54 3.5 K t lu T QU 4.1 T ng h p k t qu 4.1.1 K t qu 4.1.2 T ng h p k t qu 4.2 K t lu 55 56 56 56 67 74 5: K T LU N VÀ KI N NGH 76 5.1 K t lu n 76 5.2 Ki n ngh 76 TÀI LI U THAM KH O 78 PH L C 1: B ng kh o sát y u c u c a b Tiêu chu n ISO 27001 80 PH L C 2: B ng kh u n ki m soát c a h th ng an tồn thơng tin 81 PH L C 3: B ng tóm t t k t qu phân tích 89 LÝ L CH TRÍCH NGANG 90 vi CÁC T VI T T T STT Thu t ng Vi t t t Plan Do ISMS Information Security Management System ITIL Information Technology Infrastructure Library h t ng công ngh thông tin ISO 17799 Quy t c th c hành cho qu n lý an tồn thơng tin Code of Practice for Information Security Management British Standards Institution BSI Vi n tiêu chu n Anh qu c Statement of Applicability SOA Enterprise Resource Planning ERP Tài li u tuyên b mô t m c tiêu ki m sốt bi n pháp liên quan có th áp d ng cho h th ng qu n lý an tồn thơng tin c a t ch c Ho nh ngu n l c doanh nghi p Customer Relationship Management CRM Qu n lý quan h khách hàng 10 Intellectual Property Rights IPR Quy n s h u trí tu 11 International Electrotechnical Commission IEC y ban K thu Qu c t Check - Act PDCA Chu trình ho ng c a ISO 27001 H th ng qu n lý b o m t thông tin n 76 5: K T LU N VÀ KI N NGH trình bày nh ng k t lu n c a vi ng th i nêu lên nh ng ki n ngh cho doanh nghi p t xây d ng h th ng an tồn thơng tin c a doanh nghi p cách thích h p v ct t b o v tài s n thông tin m t i th c nh tranh, s tuân th pháp lu t, hình nh cơng ty i tác khách hàng 5.1 K t lu n Theo k t qu i c Qu n lý tài s m b o an toàn v m b o an toàn tài nguyên i (A.8) T ch m b o an toàn thông tin (A.6) th c hành r t t t T vi c xây d ng tt td n vi c Qu n lý truy n thông u hành (A.10), Qu n lý s c an toàn thông tin (A.13), S tuân th (A.15) i k t qu u mà doanh nghi Qu n lý s liên t c c a ho ng nghi p v (A.14) h n có nh ng s c nh x xích chu i ho t m n ho c bi ; ng n ng c a m t vài m t ng c a t ch c, dài h n có th có x y s c mà ng c a có th n c h th ng Nguyên nhân c doanh nghi u c h t m i ro thích h p có k ho ch x lý r i ro (lo i b , chuy n giao, áp d ng m c tiêu ki m soát, bi t ch p nh n có ki m sốt) 5.2 Ki n ngh Qua vi c th c hi n kh n tr ng b o m t h th ng thông tin t i T ng Công ty C ph n May Vi t Ti n, tác gi xu t nh ng ki n ngh n doanh nghi p nh m xây d ng h th ng an tồn thơng tin phù h p v i doanh nghi p c a i v i T ng Công ty C ph n May Vi t Ti n Do doanh nghi p có b dày l ch s , công tác tin h s m, ng d nên vi c chuy c phát tri n n n nh ng h p nhi c th c hi n t r t u hành ph n m m ng th i sách v an p nh t k p theo tình hình phát tri n c a công ngh thông 77 xu t m t s ý ki n giúp doanh nghi c c a h th ng thông tin - Doanh nghi p c n t p trung xây d ng l i sách an tồn thơng tin - Hồn thi n vi c xây d ng h th ng m ng theo mơ hình Domain a ch IP thành m ng (VLAN) - - Xây d ng h th ng d phòng phòng s c cháy n , h a ho n - Th c hi i m - Xây d ng c th i ti n i v i doanh nghi p khác Tác gi mu n g i m n doanh nghi p, nh t nh ng doanh nghi p nh v a, nh ng doanh nghi p mà hi ng h th ng b o m t an tồn thơng tin m nh d n t xây d ng cho doanh nghi p m t h th ng an tồn thơng tin theo tiêu chu n ISO 27001, b u b ng vi c xây d ng m t sách an tồn thơng tin cho th t t t Vì theo Tiêu chu n ISO 27001, vi c áp d ng h th ng an tồn thơng tin v i m nhu c u c a t ch t tình hu tùy thu c vào n ch yêu c u m t h th ng n (a simple situation requires a simple ISMS solution) (M c 0.1) [6] C th - vào qui mô c a doanh nghi p; - vào ph m vi c a h th ng thông tin doanh nghi p; - vào m - T yêu c u c a ho ng nghi p v ; ng sách an tồn thơng tin phù h p v i doanh nghi p - Th c hi - Xây d ng c th i m c i ti n t 78 TÀI LI U THAM KH O [1] A Asosheh, B Dehmoubed and A Khani ISI 2009, June 8-11, 2009 [2 of Conference on Information Systems, May 2011 [3 Gold Certification, 2009 [4] D Kluge and S Sambasivam [5] -25, 2011 [6] ISO (International Organization for Standardization) ISO/IEC 27001:2005 Information technology Security techniques Infomation security management systems - Requirements, 2005 [7] ISO (International Organization for Standardization) ISO/IEC 27002:2005 Information technology Security techniques Code of practice for infomation security management, 2005 [8] Lizzie ColesOwnership Question in ISO/IEC 27001 Information Security Management Conference, 2006 [9 Ownership Question in ISO/IEC 27001 Lizzie ColesKemp, Richard E Overill ©2006 [10] M A Talib, M E Barach Technology, Volume 7, 2012 [11] Support for Information Assets Access Control u Joint Conference on Computer Science and Software Engineering (JCSSE), Eighth International, 2011 79 [12 published in the Proceedings of 4th Australian Information Security Management Conference, Edith Cowan University, Perth, Western Australia, 5th December, 2006 [13 Conference on Computational Intelligence and Communication Systems, 2011 [14] R G [15 Information Globalization Security Management in Context of Journal of the Washington Institute of China Studies, Spring 2012, Vol 6, No p41-52 [16] S Gilaninia, Seyyed J Mousavian, O Taheri, H Nikzad, H Mousavi, F J Basic Appl Sci Res., 2(3)2582-2588, 2012 [17] Manage Information System Security , IEEE/WIC/ACM International Conference on Web Intelligence and Intelligent Agent Technology, 2010 [18 Systems Security Management Standard: Exploring The Reasons For Low TechRepublic, Aug 2008 19 Wan-Soo Lee and SangManagement System Model A Study on Information Security for Small and Medium Enterprises INFORMATION SECURITY and PRIVACY, ISBN: 978-960-474-143-4 [20] Collaborative De-Perimeterised Environment: , ISSE, 2011 80 PH L C 1: B ng kh o sát y u c u c a b Tiêu chu n ISO 27001 Yêu soát (ISMS) 4.1 Các 4.2 4.2.1 4.2.2 ISMS 4.2.3 4.2.4 4.3 4.3.2 4.3.3 Không Không Xem xét X X X X X X X 5.1 5.2 5.2.1 5.2.2 X X X X 7.1 7.2 7.3 X X X 8.1 8.2 8.3 X X X 81 PH L C 2: B ng kh o sát u n ki m sốt c a h th ng an tồn thơng tin Khơng xem xét A.5 Chính sách an tồn 5.1 Chính sách an tồn thơng tin 5.1.1 5.1.2 Khơng X X A.6 6.1 6.1.1 6.1.2 6.1.3 6.1.4 6.1.5 6.1.6 6.1.7 6.1.8 6.2 Các bên tham gia bên 6.2.1 6.2.2 6.2.3 X X X X X X X X X X X 82 A.7 7.1 7.1.1 7.1.2 7.1.3 7.2 7.2.1 7.2.2 X X X X X A.8 8.1 8.1.1 8.1.2 8.1.3 8.2 8.2.1 8.2.2 8.2.3 8.3 8.3.1 8.3.2 8.3.3 X X X X X X X X X A.9 9.1 9.1.1 9.1.2 X X 83 9.1.3 9.1.4 9.1.5 9.1.6 9.2 9.2.1 9.2.2 9.2.3 An toàn cho dây cáp 9.2.4 9.2.5 9.2.6 9.2.7 X X X X X X X X X X X A.10 10.1 10.1.1 10.1.2 10.1.3 10.1.4 10.2 10.2.1 10.2.2 10.2.3 10.3 10.3.1 10.3.2 X X X X X X X X X 84 10.4 10.4.1 10.4.2 10.5 10.5.1 10.6 10.6.1 10.6.2 10.7 10.7.1 10.7.2 10.7.3 10.7.4 10.8 10.8.1 10.8.2 10.8.3 10.8.4 10.8.5 10.9 10.9.1 10.9.2 10.9.3 Thông tin công khai 10.10 Giám sát 10.10.1 X X X X X X X X X X X X X X X X X X 85 X X 10.10.2 10.10.3 10.10.4 10.10.5 10.10.6 X X X A.11 11.1 11.1.1 11.2 11.2.1 11.2.2 11.2.3 11.2.4 11.3 11.3.1 11.3.2 11.3.3 11.4 11.4.1 11.4.2 11.4.3 11.4.4 11.4.5 11.4.6 11.4.7 X X X X X X X X X X X X X X X 86 11.5 11.5.1 11.5.2 11.5.3 11.5.4 11.5.5 11.5.6 11.6 11.6.1 11.6.2 11.7 Tính tốn 11.7.1 11.7.2 X X X X X X X X X X A.12 12.1 12.1.1 12.2 12.2.1 12.2.2 12.2.3 12.2.4 12.3 12.3.1 12.3.2 12.4 X X X X X X X 87 X 12.4.1 12.4.2 12.4.3 12.5 12.5.1 12.5.2 12.5.3 12.5.4 12.5.5 12.6 12.6.1 X X X X X X X X A.13 13.1 13.1.1 13.1.2 13.2 13.2.1 13.2.2 13.2.3 X X X X X A.14 14.1 14.1.1 14.1.2 14.1.3 X X X 88 14.1.4 X 14.1.5 X A.15 15.1 15.1.1 15.1.2 15.1.3 15.1.4 15.1.5 15.1.6 15.2 15.2.1 15.2.2 15.3 15.3.1 15.3.2 X X X X X X X X X X 89 PH L C 3: B ng tóm t t k t qu phân tích % % % 100 9.1 11 41 20 0 0 3.1 không áp tồn Chính sách an tồn thơng tin 11 13 32 25 16 5 10 133 124 10 12 16 18 13 88 70.97 91 100 89 92 50 72 81 40 40 66 % 1 13 2 30 24.19 13 20 40 30 23 % 4.84 40 60 4.5 % 2 6.77 90 LÝ L CH TRÍCH NGANG H nh a ch liên l c: 1/6 Xô Vi t Ngh ng 27, Qu n Bình Th nh, TP HCM O Th i gian 1993 ng Nghành h c H n 1998 CN Hóa h c Th c Ph m i h c Chính Qui n H th ng Thơng Cao h c Chính Qui tin Qu n lý QUÁ TRÌNH CƠNG TÁC Th i gian Cơng ty Ch c v n 2010 T ng Công ty C ph n May Vi t Ti n Nhân viên n Công ty TNHH Tín Huy c ... ng thông tin c a T ng Công ty v i nhi m v ki m tra, giám sát vi c th c hi n sách v an ninh h th ng thông tin c a T ng Công ty, bao g m h th ng m ng, h th ng thông tin n i b c a T ng Công ty nh... ng công c h tr Terminal Service 3.3.2 T ch c b o m t h th ng thông tin (ISMS) t i VTEC Hi n t i T ng Công ty C Ph n May Vi t Ti n n hành xây d ng h th ng b o m t công ngh thông tin T ng Công ty. .. ng Công ty C ph n May Vi t Ti n (VTEC) C - 993, C - t, ƠNG - /VPCPCơng ty - - C C - công ty p CORPORATION; u t ch c c a T ng Công ty C ph n May Vi t Ti n: Hình 1.1: u t ch c c a T ng Công ty