() 1Bureau Veritas Certification Vietnam ISMS Security world – 25 March 2009 H� th�ng Qu�n lýHệ thống quản lý an toàn thông tin (ISMS) theo ISO 270012005 Hệ thống quản lý an toàn thông tin (ISMS) theo ISO 270012005 Hệ thống quản lý an toàn thông tin (ISMS) theo ISO 270012005 Hệ thống quản lý an toàn thông tin (ISMS) theo ISO 270012005 Hệ thống quản lý an toàn thông tin (ISMS) theo ISO 270012005 Hệ thống quản lý an toàn thông tin (ISMS) theo ISO 270012005 Hệ thống quản lý an toàn thông tin (ISMS) theo ISO 270012005 An toàn Thông Tin (ISMS) theo ISO 27001 2005 Cách ti�p c�n áp d�ng th�c t� Hà N�i, Security World – 24 .
H th ng Qu n lý An tồn Thơng Tin (ISMS) theo ISO 27001:2005 Cách ti p c n & áp d ng th c t Tr nh Tu n Dũng Gð Ch ng nh n Bureau Veritas Certification VN Hà N i, Security World – 24 & 25 tháng năm 2009 Bureau Veritas Certification Vietnam ISMS Security world – 25 March 2009 N i dung Nhu c u th c t & gi i thi u v b tiêu chu n Qu c t v H th ng Qu n lý An tồn Thơng tin (ISMS) Các bư c th c hi n ISO 27001:2005 – Cách ti p c n áp d ng th c t Ích l i Bureau Veritas Certification Vietnam ISMS Security world – 25 March 2009 NHU C U C N CĨ C A HT AN TỒN THÔNG TIN Bureau Veritas Certification Vietnam ISMS Security world – 25 March 2009 Nhu c u c n có c a tiêu chu n ♦ Trư c nh ng năm 1970, cơng ngh ATTT => Chính ph , Qn s , hay Ngân hàng ♦ Internet kinh doanh m ng “on-line”, ATTT => nh n d ng, ch ng th c, qu n lý ngư i s d ng… Ch ký ñi n t t o ñi u ki n cho vi c phát tri n ebusiness, e-commerce ♦ Pháp lu t v ♦ M i ngư i c n ni m tin th c hi n có hi u l c => HTQL ATTT Bureau Veritas Certification Vietnam ISMS Security world – 25 March 2009 Các HTQL nh m c i ti n & cung c p lòng tin ♦ ð m b o ch t lư ng s n ph m & tho mãn khách hàng => ISO 9001 môi trư ng s ng cho c!ng ñ"ng => ISO 14001 … ♦ B o v ♦ ð m b o S c kho#, an tồn ngư i lao đ!ng => OHSAS 18001 ♦ ð mb ov sinh th c ph m => ISO 22000 ♦ B o m t thông tin liên l c – m!t lo i tài s n ñ(c thù => ??? ♦ HTQL ATTT Bureau Veritas Certification Vietnam ISMS Security world – 25 March 2009 L ch s c a b tiêu chu n Bureau Veritas Certification Vietnam ISMS Security world – 25 March 2009 B tiêu chu n ISO 27000 c a JTC1 – SC 27 – Nguyên t c t v ng IT – Security Technique Yêu c u cho t ch c ñánh giá & ch ng nh n ISO ISO 19011 19011 Hư ng d n ñánh giá chung HTQL ISO ISO 27006 27006 :2007 :2007 ISO/ FCD 27000 ISO ISO 27001 27001 :: 2005 2005 IT - ISMS - Hư ng d n áp d ng ISO ISO 27002: 27002: 2005 2005 ISO ISO 27005 27005 :2008 :2008 IT – Security Technique Qu n lý r i ro IT - ISMS – Các yêu c u ISO/ FCD 27004 ðo lư ng IT – Security Technique - Qui ISO/ CD 27003 … 27011, 12, 33 part 1-7 * 29100, 101, 150 t c Th c hành ISMS (ISO 17799 :2005 & 2007) Bureau Veritas Certification Vietnam ISMS Security world – 25 March 2009 Xu hư ng phát tri n c a B tiêu chu n ISO 27000 ♦ Phát tri n hoàn thi n nh ng tiêu chu n b n: 27000 - Cơ s+, t, v ng, 27004 – ðo lư ng ♦ Phát tri n hoàn thi n nh ng tiêu chu n Hư ng d/n (chung ñ(c thù): 27003 – Áp d ng, 27007 – ðánh giá, 27011 – Telecomunication, 27012 – E Government, 27032 Cybersecurity ♦ ðưa k0 thu t b o m t cho m ng – IT network: B! tiêu chu n 27033-1 cho t i 27033-7 Ngu n: ISO/JTC1/SC27 Bureau Veritas Certification Vietnam ISMS Security world – 25 March 2009 GI!I THI"U ISO 27001:2005 & CÁC BƯ!C ÁP D$NG TH%C T& Bureau Veritas Certification Vietnam ISMS Security world – 25 March 2009 Thơng tin gì? ð nh nghĩa: THƠNG TIN m t lo i tài s n, gi ng nh ng tài s n kinh doanh quan tr ng khác, thơng tin có giá tr đ i v i m t t ch c c n ñư c B O V m t cách h p lý (ISO/IEC 17799:2000) Thơng tin có th ðư c t'o ðư c chuy n giao B phá hu) ðư c x lý Lưu tr( ðư c s d ng B s añ i Bureau Veritas Certification Vietnam ISMS Security world – 25 March 2009 B th t l'c 10 An tồn thơng tin gì? CIA (Confidential-Integrity-Availability) TÍNH B1O M2T: Thơng tin khơng s3n có ho(c khơng nên ñ l! cho cá nhân, t4 ch c, ñ i tư ng chưa ñư c u5 quy n Các t ch c c n ñ't ñư c s cân b ng… Tính tồn v*n TÍNH TỒN V6N: Thơng tin đư c b o v đư c gi gìn tr n v7n TÍNH S8N CĨ: Ln s3n sàng s3n có s d ng c n cho đ i tư ng đư c u5 quy n Tính s+n có Tính b o m t (ISO/IEC 27001:2005 – Các u c u) “S trì thu c tính: tính b o m t, tính tồn v*n tính s+n có c a thơng tin; ngồi ra, thu c tính khác tính xác th c, trách nhi m gi i trình, tính th a nh n tính đáng tin c y có th liên quan” Bureau Veritas Certification Vietnam ISMS Security world – 25 March 2009 11 H th ng qu n lý An toàn thơng tin - ISMS gì? th ng lý n u q ISMS ð nh nghĩa H th ng qu n lý an tồn thơng tin (ISMS) m!t ph n c a h th ng qu n lý t4ng th9, d a cách ti9p c n theo r i ro c a kinh doanh, ñ thi9t l p, th c hi n, ñi u hành, giám sát, xem xét, trì c i ti9n vi c b o m t thông tin” Ghi h th ng qu n lý bao g"m: c u trúc c a t4 ch c, sách, ho t đ!ng ho ch ñ:nh, trách nhi m, vi c th c hành, th t c, qui trình ngu"n l c (ISO 27001:2005 cl 3.7) Nhưng nh(ng l i ích có,đư c gì? Bureau Veritas Certification Vietnam ISMS Security world – 25 March 2009 12 Gi i thi u ISO 27001:2005 Thi t l p h th ng ISMS Plan Do Các bên h(u quan Mong mu n yêu c u An tồn thơng tin Th c hi n và, ñi u hành h th ng ISMS Chu kỳ phát tri n, trì c i ti n Act Duy trì c i ti n h th ng ISMS Check Giám sát và, ñánh giá h th ng ISMS Bureau Veritas Certification Vietnam ISMS Security world – 25 March 2009 Các bên h(u quan An tồn thơng tin ñư c qu n lý 13 Gi i thi u ISO 27001:2005 ► H th ng qu n lý an tồn thơng tin Ph l c A bao g.m : 4.1 Các yêu c u t ng quát ► 4.2 Thi t l p qu n lý h th ng ISMS 10 11 12 11 ph n: ► ðánh giá n i b h th ng ISMS ► Xem xét lãnh ñ'o h th ng ISMS Chính sách ISMS Cơ c u t ch c ISMS Qu n lý tài s n B o m t ngu.n nhân l c B o m t môi trư ng v t lý Qu n lý ho't đ ng truy n thơng Ki m sốt truy c p Thu n'p, trì phát tri n h th ng thông tin 13 Qu n lý s c ISMS 14 Duy trì liên t c ho't đ ng kinh doanh 15 Tính tn th ► Vi c c i ti n ISMS ► 39 m c tiêu ki m soát ► 132 m c ki m soát 4.3 Nh(ng yêu c u v tài li u ► Trách nhi m lãnh ñ'o 5.1 Cam k t c a lãnh ñ'o 5.2 Qu n lý ngu.n l c 8.1 C i ti n thư ng xuyên 8.2 Hành ñ ng s a ch(a 8.3 Hành đ ng phịng ng a Bureau Veritas Certification Vietnam ISMS Security world – 25 March 2009 14 ISMS theo ISO 27001:2005 M!t s “v n ñ ” có th t"n t i c a HTQL v n hành theo tiêu chu n qu c t9 ISO (9001, 14001, 22000…): ♦ Ph c t p nhi u h th ng ♦ T n gi y, t n cơng ♦ Hình th c, khơng th c t9 ♦ Hi u qu Tiêu chu n ch< rõ: ♦ M c 0.1 T4ng quan “Áp d ng ISMS v i m c ñ tuỳ thu c vào nhu c u c a t ch c, nghĩa tình hu ng ñ n gi n ch yêu c u ISMS ñ n gi n” ♦ M c 0.3 Tương thích v i HTQL khác: “Tiêu chu n qu c t hồn tồn tương thích vói ISO 9001:2000 ISO 14001:2004 ñ h tr cho vi c áp d ng v n hành tích h p M t HTQL đ c thi t k thích h p có th tho mãn t t c tiêu chu n này” ♦ M c 1.2 Áp d ng / Chú thích: “Dùng HTQL hi n có đ tho mãn yêu c u c a tiêu chu n s! t t ña s trư"ng h p” Bureau Veritas Certification Vietnam ISMS Security world – 25 March 2009 15 Xây d ng ISMS theo ISO 27001:2005 Ph m vi & ranh gi i Công b Áp d ng (SOA) Chính Sách ISMS K ho ch x lý r i ro theo ưu tiên: Xác ñ nh r i ro KHƠNG ch p nh n hay khơng Lo i b (tránh) Chuy n giao Áp d ng m c ki m soát Bi t & ch p nh n có ki m soát D toán m c r i ro (risk levels) Phương pháp ñánh giá r i ro Xác ñ nh m i ñe (threat) ðánh giá r i ro & tác ñ ng Xác ñ nh l h ng (vulnerability) Li t kê, ki m kê ñánh giá lo i tài s n (thông tin) Bureau Veritas Certification Vietnam ISMS Security world – 25 March 2009 16 SO SÁNH V!I HTQL HI"N CÓ (ISO 9001:2008) ISO 27001:2005 ► HTQL hi n có (hay ISO 9001:2000) H th ng qu n lý an tồn thơng tin 4.1 Các yêu c u t ng quát Xem trang trư c 4.2 Thi t l p qu n lý h th ng ISMS 4.3 Nh(ng yêu c u v tài li u ► Trách nhi m lãnh ñ'o 5.1 Cam k t c a lãnh ñ'o B ng so sánh tương ñ ng gi a 9001/14001&27001: 5.2 Qu n lý ngu.n l c ► ðánh giá n i b h th ng ISMS ► Xem xét lãnh ñ'o h th ng ISMS ► Vi c c i ti n ISMS 8.1 C i ti n thư ng xuyên 8.2 Hành ñ ng s a ch(a 8.3 Hành đ ng phịng ng a 4.2.3 &4.2.4 5.1 & 5.2 6.2 8.2.2 5.6 8.5.1 8.5.2 8.5.3 Bureau Veritas Certification Vietnam ISMS Security world – 25 March 2009 17 Gi i thi u ISO 27001:2005 olicy P lity a u Q Ph l c A bao g.m : 11 ph n: 10 15 Chính sách ISMS Cơ c u t ch c ISMS ươ Qu n lý tài s n B o m t ngu.n nhân l c B o m t môi trư ng v t lý Qu n lý ho't đ ng truy n thơng Ki m sốt truy c p Thu n'p, trì phát tri n h th ng thông tin Qu n lý s c ISMS Duy trì liên t c ho't đ ng kinh doanh Tính tuân th ► 39 m c tiêu ki m soát ► 132 bi n pháp Ki m soát n ài b gb hưn 1n 900 ISO v i 13 14 i so 11 12 M ► to r ted ll ou d a mit om on of rs an ment c ti is lie ve ion tisfac supp mpro o t a sa s, nis is t al i rga e and loyee ntinu goal uality ro p Ou llenc , em al Co Our rket q ve e s r y r ti exc tomer gene ctivit nd ma peti secto a m cus iety in nent ture a at co in our a soc perm nufac rvices ders a a e is a ign m nd s me le ent a s e co sid de ucts b e d and r o r p es P J J pric PRESIDENTE MKT D&D ADQ OPER LOG FIN VTS PLD PLA PLM ALM CONT SPV PROY CMP CORTE EMB FACT CINV ENS ENTR COBR AAR Các t ch c chuyên môn ACAB Ki m kê – Có ch - Phân lo'i –,Nhãn,-,Qð,s Bureau Veritas Certification Vietnam ISMS Security world – 25 March 2009 Các bên cung c p th Ba d ng 18 Gi i thi u ISO 27001:2005 Ph l c A bao g.m : Nhân viên/nhà th u/bên th ► 11 ph n: 10 15 Chính sách ISMS Cơ c u t ch c ISMS Qu n lý tài s n ươ B o m t ngu.n nhân l c B o m t môi trư ng v t lý Qu n lý ho't ñ ng truy n thơng Ki m sốt truy c p Thu n'p, trì phát tri n h th ng thơng tin Qu n lý s c ISMS Duy trì liên t c ho't đ ng kinh doanh Tính tn th ► 39 m c tiêu ki m soát ► 132 bi n pháp Ki m soát 11 12 13 14 –,trư c/trong/sauHð ươ Bureau Veritas Certification Vietnam ISMS Security world – 25 March 2009 19 Gi i thi u ISO 27001:2005 Ph l c A bao g.m : ► 11 ph n: 10 15 Chính sách ISMS Cơ c u t ch c ISMS Qu n lý tài s n B o m t ngu.n nhân l c B o m t môi trư ng v t lý Qu n lý ho't ñ ng truy n thơng Ki m sốt truy c p Thu n'p, trì phát tri n h th ng thông tin Qu n lý s c ISMS Duy trì liên t c ho't đ ng kinh doanh Tính tuân th ► 39 m c tiêu ki m soát ► 132 bi n pháp Ki m soát 11 12 13 14 Bureau Veritas Certification Vietnam ISMS Security world – 25 March 2009 20 ÍCH L8I Bureau Veritas Certification Vietnam ISMS Security world – 25 March 2009 21 L i ích c a an tồn thơng tin tài s n thông tin m!t cách ♦Thành l p n n t ng v ng ch=c cho sách b o m t thích h p thơng tin ♦B o v ♦ Ki m soát d a r i ro ♦ Không b: Thi9u / Th,a ♦L i th9 c nh tranh ♦S tuân th pháp lu t ♦Hình nh ♦L i nhu n ♦Là b>ng ch ng th y ñư c v nh ng th c hành ñư c áp d ng cho bên quan tâm: ♦ ♦ Các khách hàng thương m i Khách hàng ngư i s cu i d ng ♦ ð i v i nhân viên (ki m toán) ♦ ð i v i quan qu n lý Bureau Veritas Certification Vietnam ISMS Security world – 25 March 2009 22 BUREAU VERITAS CERTIFICATION VIETNAM ► Phát hành 2000 Gi y ch ng nh n phù h p v i tiêu chu n qu c t9 cho HTQL ► Phù h p ISO 17021:2006 & ñư c chuy n thành Trung tâm ch ng nh n (ICC) t, tháng năm 2008 Quy9t ñ:nh ch ng nh n v i công nh n c a UKAS & ANAB K:p th i v i nhu c u khách hàng ► Có chun gia đánh giá ngư i Vi t Nam ► Khách hàng tiêu bi u t i Vi t Nam ISO 27001:2005–UKAS công nh n YKK BKIS Bureau Veritas Certification Vietnam ISMS Security world – 25 March 2009 23 Bureau Veritas Certification Vietnam ISMS Security world – 25 March 2009 24 ... Thơng tin gì? ð nh nghĩa: THÔNG TIN m t lo i tài s n, gi ng nh ng tài s n kinh doanh quan tr ng khác, thơng tin có giá tr ñ i v i m t t ch c c n đư c B O V m t cách h p lý (ISO/ IEC 17799:2000) Thông. .. Các bên h(u quan An tồn thơng tin đư c qu n lý 13 Gi i thi u ISO 27001:2005 ► H th ng qu n lý an tồn thơng tin Ph l c A bao g.m : 4.1 Các yêu c u t ng quát ► 4.2 Thi t l p qu n lý h th ng ISMS... :2007 :2007 ISO/ FCD 27000 ISO ISO 27001 27001 :: 2005 2005 IT - ISMS - Hư ng d n áp d ng ISO ISO 27002: 27002: 2005 2005 ISO ISO 27005 27005 :2008 :2008 IT – Security Technique Qu n lý r i ro