Sổ tay này xác định các yêu cầu cho việc thiết lập, thực hiện, giám sát, xem xét, duy trì và cải tiến HTQL ANTT trong toàn bộ hoạt động của Công ty và tuân thủ yêu cầu của tiêu chuẩn ISO 27001. Sổ tay cũng xác định việc thực thi các biện pháp quản lý an ninh theo yêu cầu của Công ty. HTQL ANTT được xây dựng nhằm đảm bảo các biện pháp quản lý an ninh phù hợp và thỏa đáng cho mục đích duy trì tính mật, tính toàn vẹn và sẵn sàng của tài sản thông tin. Các ngoại lệ và lý giải cho các ngoại lệ này được nêu trong bản tuyên bố áp dụng (SOA).
SỔ TAY HỆ THỐNG QUẢN LÝ AN NINH THÔNG TIN Ngày ban hành: BIÊN SOẠN PHÊ DUYỆT SỔ TAY HỆ THỐNG QUẢN LÝ AN NINH THƠNG TIN Sốt xét MS: ST-ISMS TÌNH TRẠNG SỬA ĐỔI Mơ tả sửa đổi Ngày hiệu lực Trang: 2/21 SỔ TAY HỆ THỐNG QUẢN LÝ AN NINH THÔNG TIN HỆ THỐNG QUẢN LÝ AN NINH THƠNG TIN Giới thiệu Phần trình bày phạm vi hệ thống quản lý an ninh thông tin (HTQL ANTT), mục đích áp dụng HTQL ANTT 1.1 Mục đích Sổ tay xác định yêu cầu cho việc thiết lập, thực hiện, giám sát, xem xét, trì cải tiến HTQL ANTT tồn hoạt động Công ty tuân thủ yêu cầu tiêu chuẩn ISO 27001 Sổ tay xác định việc thực thi biện pháp quản lý an ninh theo yêu cầu Công ty HTQL ANTT xây dựng nhằm đảm bảo biện pháp quản lý an ninh phù hợp thỏa đáng cho mục đích trì tính mật, tính tồn vẹn sẵn sàng tài sản thông tin Các ngoại lệ lý giải cho ngoại lệ nêu tuyên bố áp dụng (SOA) 1.2 Phạm vi hệ thống quản lý ANTT Phạm vi HTQL ANTT áp dụng Cơng ty: CƠNG TY … Địa chỉ: … Sản phẩm: … Tài sản Công nghệ phạm vi áp dụng, gồm: • Cơ sở liệu (khách hàng, tiền lương), file liệu, sổ tay người dùng, tài liệu hệ thống, tài liệu đào tạo nội bộ, tài liệu kỹ thuật – công nghệ công ty, thủ tục vận hành, báo cáo đánh giá rủi ro, báo cáo phát lỗ hổng, tài sản trí tuệ cơng ty, thơng tin giá hợp đồng, đơn đặt hàng, • Tài sản vật lý: thiết bị xử lý thông tin, thiết bị truyền dẫn thông tin, thiết bị đầu cuối, phương tiện lưu trữ thơng tin • Phần mềm: phần mềm ứng dụng, phần mềm hệ thống (ERP, phần mềm hệ điều hành, phần mềm PM – quản lý dự án), cơng cụ tiện ích phát triển phần mềm, cơng cụ tiện ích mạng MS: ST-ISMS Trang: 3/21 SỔ TAY HỆ THỐNG QUẢN LÝ AN NINH THƠNG TIN • Dịch vụ gồm: sửa chữa, trợ giúp người dùng, cung cấp điện, nước, internet, điện thoại, fax, bảo trì, mã hóa liệu • Con người: kèm kiến thức, nhận thức, kỷ kinh nghiệm họ, như: lập trình viên, người có học hàm, học vị, chuyên gia (những người có kiến thức, kỷ đặc biệt) • Tài sản vơ hình: hình ảnh công ty thông qua (đồng phục, logo, namecard, văn hóa cơng ty, cách thức giao tiếp, làm việc, templet document, …) 1.3 Thuật ngữ, định nghĩa từ viết tắt Các thuật ngữ, định nghĩa từ viết tắt sử dụng hệ thống quản lý an ninh thông tin Công ty đề cập Sổ tay thuật ngữ định nghĩa Tài liệu tham khảo - Tiêu chuẩn ISO/IEC 27001 - Tiêu chuẩn ISO/IEC 27002 - Chính sách Hệ thống quản lý an ninh thông tin Công ty - ISO/IEC Guide 73 – Risk management – Vocabulary – Guideline for use in standards - ISMS Implementation Guide v1.1 (atsec information security corporation) - The security risk assessment handbook - Information security management handbook (CRC press) - Information security policy, Ministry of communications and information technology government of india - Information security guidelines for NSW government agencies (The Australian New South Wales department of commerce) - Protecting your computer from malicious code: Ausert (Autralia’s national computer emergency response team) MS: ST-ISMS Trang: 4/21 SỔ TAY HỆ THỐNG QUẢN LÝ AN NINH THÔNG TIN MS: ST-ISMS Trang: 5/21 SỔ TAY HỆ THỐNG QUẢN LÝ AN NINH THÔNG TIN Sơ đồ tổ chức: 3.1 Sơ đồ tổ chức chung: tham khảo Sơ đồ tổ chức Công ty 3.2 Sơ đồ tổ chức ANTT Mô tả tổ chức ANTT Công ty, mối liên hệ hàng ngang, dọc, chéo (bao gồm tất lĩnh vực phạm vi áp dụng, không riêng phận IT) DIỄN ĐÀN ANTT GIÁM ĐỐC ANTT NHÓM ĐỐI PHÓ SỰ CỐ THIÊN TAI, HỎA HOẠN NHĨM ĐỐI PHĨ SỰ CỐ MÁY TÍNH, MẠNG ĐẠI DIỆN ANTT BAN ANTT VĂN PHÒNG CÁC ĐÕN VỊ CHỨC NĂNG PHÒNG QUẢN TRỊ MẠNG BẢO VỆ QUẢN TRỊ HẠ TẦNG MẠNG QUẢN LÝ HỆ THỐNG MẠNG QUẢN LÝ TÀI SẢN THÔNG TIN HỖ TRỢ CÔNG NGHỆ THÔNG TIN QUẢN LÝ HĐH, ỨNG DỤNG ĐÀO TẠO NHẬN THỨC ANTT ĐẠI DIỆN AN NINH ĐÕN VỊ ĐẠI DIỆN AN NINH ĐÕN VỊ ĐẠI DIỆN AN NINH ĐÕN VỊ SƠ ĐỒ TỔ CHỨC AN NINH THÔNG TIN MS: ST-ISMS Trang: 6/21 SỔ TAY HỆ THỐNG QUẢN LÝ AN NINH THÔNG TIN 3.3 Vai trò trách nhiệm ANTT: Tham khảo định thành lập, Bản mô tả công việc, quy định chức nhiệm vụ Công ty Hệ thống quản lý an ninh thông tin 4.1 Các yêu cầu chung Công ty thiết lập, thực hiện, giám sát, xem xét, trì cải tiến HTQL ANTT tồn hoạt động Cơng ty Các q trình HTQL ANTT sử dụng dựa chu trình PDCA Plan Các bên quan tâm Thiết lập Act Các yêu cầu mong đợi an ninh thông tin Các bên quan tâm Do Duy trì cải tiến ISMS Thực điều hành ISMS Giám sát xem xét ISMS Check An ninh thông tin quản lý CHU TRÌNH PDCA MS: ST-ISMS Trang: 7/21 SỔ TAY HỆ THỐNG QUẢN LÝ AN NINH THÔNG TIN 4.2 Thiết lập quản lý HTQL ANTT 4.2.1 Thiết lập 4.2.1.1 Phạm vi ranh giới HTQL ANTT HTQL ANTT Công ty bao gồm hoạt động liên quan đến: - Gửi nhận thông tin qua: đường bưu diện, điện thoại, fax, email, website, gửi nhận trực tiếp (công văn đến, đi; thông tin, liệu)… - Quản lý q trình xử lý thơng tin qua văn phịng điện tử - Quản lý việc cấp phát sử dụng tài khoản - Quản lý website - Quản lý tiện ích xử lý thơng tin - Quản lý hồ sơ, tài liệu liệu - Quá trình trao đổi thông tin internet HTQL ANTT áp dụng cho tất tài sản thông tin thuộc Công ty bao gồm tài sản hữu hình vơ hình 4.2.1.2 Các lĩnh vực an ninh xác định HTQL ANTT Các lĩnh vực an ninh xác định HTQL ANTT tuân thủ tiêu chuẩn ISO 27001 - Chính sách an ninh (A.5): Hỗ trợ định hướng lãnh đạo an ninh thông tin theo yêu cầu hoạt động yếu, pháp luật chế định liên quan - Tổ chức ANTT (A.6): Duy trì an ninh thơng tin tổ chức tiện ích xử lý truy cập, xử lý, giao tiếp, hay quản lý đối tác bên ngồi - Quản lý tài sản (A.7): Nhằm mục đích phân loại cách phù hợp bảo vệ tài sản Công ty - An ninh nguồn nhân lực (A.8): để xác định vai trò trách nhiệm rõ ràng, đảm bảo nhân viên, người hợp đồng người dùng bên thứ hiểu trách nhiệm họ phù hợp với vai trò họ, đào tạo nhận thức ANTT, khỏi tổ chức theo cách quy định - An ninh môi trường vật lý (A.9): Ngăn ngừa truy cập vật lý trái phép vào sở làm tổn thất hay gây hại hay trộm thiết bị - Quản lý giao tiếp vận hành (A.10): Đảm bảo mạng lưới an ninh, trì thỏa thuận phân phối dịch vụ bên thứ ba cách phù hợp, việc chia tách phát triển kiểm tra tiện ích để giảm thiểu đến MS: ST-ISMS Trang: 8/21 SỔ TAY HỆ THỐNG QUẢN LÝ AN NINH THÔNG TIN mức thấp rủi ro hư hỏng hệ thống bảo vệ phần mềm tính tồn vẹn thơng tin - Kiểm soát truy cập (A.11): ngăn ngừa truy cập trái phép đến hệ thống thông tin, dịch vụ mạng lưới, hệ điều hành, hệ thống ứng dụng đảm bảo an ninh thông tin sử dụng máy tính di động tiện ích làm việc từ xa - Xây dựng, trì phát triển hệ thống thông tin (A.12): ngăn ngừa sai lỗi, tổn thất, bổ sung trái phép, sử dụng sai thông tin ứng dụng, đảm bảo an ninh file hệ thống phần mềm làm giảm rủi ro gây từ việc khai thác lỗ hổng công bố - Quản lý kiện ANTT (A.13): Truyền đạt lúc cố điểm yếu ANTT thực hành động khắc phục - Quản lý tính liên tục hoạt động yếu (A.14): tránh làm gián đoạn hoạt động Cơng ty bảo vệ q trình hoạt động yếu từ sai lỗi nghiêm trọng hay thảm họa để đảm bảo khôi phục lại tình trạng ban đầu cách kịp thời - Tuân thủ (A.15): Việc tuân thủ yêu cầu luật pháp, sách an ninh tiêu chuẩn 4.2.1.3 Khn khổ ISMS ISMS bao gồm Chính sách, q trình, thủ tục, hướng dẫn, biểu mẫu áp dụng, hồ sơ nhật ký Cơng ty thiết lập sách mức cao áp dụng cho server, đồng thời chọn lựa thực thi biện pháp quản lý (controls) để hỗ trợ cho sách ISMS Việc chọn lựa dựa (không giới hạn) sở sau: - Các yêu cầu pháp luật nghĩa vụ hợp đồng: Bảo vệ liệu, hồ sơ tổ chức, tn thủ Luật Sở hữu trí tuệ, Luật Cơng nghệ thông tin, yêu cầu hợp đồng - Các yêu cầu hoạt động chính: tuân thủ tiêu chuẩn sách an ninh - Các yêu cầu đánh giá rủi ro: Các mối nguy môi trường truy cập bất hợp pháp, cố ANTT, vi phạm an ninh, quy định an ninh Chi tiết đánh giá rủi ro trình bày tài liệu: Phương pháp đánh giá rủi ro Đầu trình đánh giá rủi ro gồm: - Báo cáo đánh giá rủi ro - Kế hoạch xử lý rủi ro MS: ST-ISMS Trang: 9/21 SỔ TAY HỆ THỐNG QUẢN LÝ AN NINH THÔNG TIN - Tuyên bố áp dụng (bao gồm lý do, lý giải cho ngoại lệ) Dựa sở báo cáo đánh giá rủi ro, Ban an ninh lập kế hoạch xử lý rủi ro (bao gồm việc chọn lựa biện pháp quản lý) trình Giám đốc ANTT duyệt để thực thi xử lý rủi ro / chấp nhận rủi ro 4.2.2 Thực thi điều hành ISMS Các mục tiêu kiểm soát biện pháp quản lý lựa chọn phần kế hoạch xử lý rủi ro phải thực Cơng ty thơng qua có thể tạo điều kiện việc nhắc nhở nhận biết phản ứng kiện ANTT Công ty đảm bảo việc đào tạo nhận thức phù hợp ISMS tiến hành đáp ứng nguồn lực phù hợp để quản lý ISMS Công ty trì danh mục rủi ro cần phải xử lý tương ứng với biện pháp quản lý nhằm mục đích giám sát để đảm bảo biện pháp quản lý chọn có hiệu lực Các nhật ký cho việc làm giảm rủi ro trì cho mục đích so sánh với trước xử lý 4.2.3 Giám sát xem xét ISMS Công ty đảm bảo ISMS giám sát xem xét định kỳ cách thỏa đáng a Để giám sát kiện ANTT, Công ty xây dựng thủ tục đối phó với cố ANTT (Incident response), đảm bảo tất cố, kiện, sai lỗi nhận biết trình xử lý xử lý cách nhanh có thể b Cơng ty xây dựng thủ tục cho q trình xem xét lãnh đạo thủ tục cho trình đánh giá nội ISMS Việc xem xét lãnh đạo đánh giá nội nhằm đảm bảo hiệu lực ISMS tất sách, mục tiêu kiểm soát biện pháp quản lý thực thi đáp ứng yêu cầu Công ty c Ban an ninh thông tin xem xét mức rủi ro có thể chấp nhận rủi ro lại dựa sở thay đổi kỹ thuật triển khai, mối nguy, lỗ hổng mục tiêu Công ty d Tại thời điểm thích hợp, biện pháp quản lý giám sát tương ứng với nhật ký rủi ro hành Điều so sánh với mức rủi ro trước nhằm xác nhận hiệu lực biện pháp quản lý MS: ST-ISMS Trang: 10/21 SỔ TAY HỆ THỐNG QUẢN LÝ AN NINH THÔNG TIN 4.2.4 Duy trì cải tiến ISMS Dựa sở báo cáo xem xét phát đánh giá, hành động khắc phục, phòng ngừa phù hợp thực thi cập nhật vào ISMS Các đầu vào cải tiến có thể từ: - Báo cáo đánh giá - Báo cáo xem xét lãnh đạo - Báo cáo cố, kiện ANTT - Báo cáo đánh giá rủi ro - Các thay đổi tổ chức (Mục tiêu, q trình, thực tiễn cơng nghệ, luật pháp chế định, …) - Các thay đổi môi trường (các mối nguy, lỗ hổng mới, thay đổi cơng nghệ, kỹ thuật, …) Cơng ty trì tất yếu tố đầu vào sở liệu cải tiến lưu mạng nội Công ty Giám đốc an ninh thông tin tổng hợp đầu vào xem xét ISMS cho mục đích cải tiến Tất nội dung thay đổi tạo ra, Giám đốc ANTT chuẩn bị kế hoạch hành động truyền đạt kết cho tất bên quan tâm và/ bên chịu ảnh hưởng từ kết Tất điểm cải tiến phải hướng dến mục tiêu xác định trước Các mục tiêu năm Ban an ninh thiết lập xem xét cho mục đích cải tiến định (Tham khảo Thủ tục Hành động khắc phục Thủ tục hành động phòng ngừa) 4.3 Các yêu cầu tài liệu Cấu trúc hệ thống tài liệu: MS: ST-ISMS Trang: 11/21 SỔ TAY HỆ THỐNG QUẢN LÝ AN NINH THƠNG TIN Chính sách ISMS Sổ tay ISMS Chính sách an ninh Thủ tục, quy trình Hướng dẫn, biểu mẫu Các thành phần tài liệu: - Mức 0: Chính sách hệ thống quản lý an ninh thơng tin – Là sách mức cao Công ty - Mức 1: Sổ tay ISMS (Hệ thống quản lý ANTT) - Sổ tay bao gồm yêu cầu tiêu chuẩn ISO 27001 mô tả cách thức đáp ứng yêu cầu - Mức 2: Bộ sách an ninh thơng tin Công ty - Mức 3: Các thủ tục quy trình yêu cầu cho việc thực hiện, điều hành giám sát ISMS - Mức 4: Các hướng dẫn thực biểu mẫu áp dụng trình tác nghiệm Trách nhiệm lãnh đạo: Phần trình bày cam kết lãnh đạo việc thực thi điều hành ISMS cách có hiệu Đồng thời, xác định vai trò trách nhiệm liên quan đến hoạt động ISMS 5.1 Cam kết lãnh đạo: MS: ST-ISMS Trang: 12/21 SỔ TAY HỆ THỐNG QUẢN LÝ AN NINH THÔNG TIN Lãnh đạo ủy quyền cho Giám đốc ANTT có trách nhiệm triển khai xây dựng cải tiến HTQL ANTT Lãnh đạo cung cấp chứng cam kết việc thiết lập, thực thi, điều hành, giám sát, xem xét, trì cải tiến ISMS cách: a Thiết lập sách ISMS b Đảm bảo mục tiêu kế hoạch ISMS thiết lập c Thiết lập vai trò trách nhiệm an ninh thông tin Công ty d Truyền đạt tổ chức tầm quan trọng việc đáp ứng mục tiêu ANTT phù hợp với sách ANTT, trách nhiệm pháp luật nhu cầu cải tiến liên tục e Cung cấp nguồn lực cần thiết cho việc thiết lập, thực hiện, vận hành, theo dõi, xem xét, trì cải tiến ISMS f Quyết định tiêu chí chấp nhận rủi ro mức sủi ro có thể chấp nhận g Đảm bảo tiến hành đánh giá nội ISMS h Tiến hành xem xét lãnh đạo ISMS 5.1.1 Vai trị trách nhiệm an ninh thơng tin 5.1.1.1 Giám đốc an ninh Giám đốc an ninh có trách nhiệm cung cấp định hướng hỗ trợ an ninh thông qua trách nhiệm sau: - Bổ nhiệm Đại diện an ninh Công ty - Quyết định chức danh hệ thống ANTT - Thành lập Ban an ninh - Xác định cấu trúc tổ chức an ninh - Phê duyệt ban hành tài liệu HTQL ANTT - Đảm bảo mục tiêu an ninh xác định, đáp ứng yêu cầu Cơng ty tích hợp vào q trình liên quan - Xem xét phê duyệt sách ANTT - Cung cấp nguồn lực tài cần thiết cho việc đảm bảo ANTT - Duyệt nhiệm vụ, vai trò trách nhiệm cho vị trí chức danh có liên quan đến ANTT tổ chức - Khởi xướng kế hoạch chương trình nhằm trì nhận thức ANTT MS: ST-ISMS Trang: 13/21 SỔ TAY HỆ THỐNG QUẢN LÝ AN NINH THÔNG TIN - Quyết định tiêu chí đánh giá rủi ro, Phê duyệt xem xét kế hoạch xử lý rủi ro chấp nhận rủi ro lại - Chủ trì họp xem xét lãnh đạo ISMS nhằm đảm bảo tính hiệu lực sách ANTT thiết lập 5.1.1.2 Đại diện an ninh - Xác định vai trò trách nhiệm cụ thể an ninh thông tin Công ty - Tham mưu cho Giám đốc an ninh định hướng việc đảm bảo an ninh thông tin tiếp nhận hỗ trợ cho hoạt động vận hành an ninh - Phát triển, trì kế hoạch an ninh đảm bảo thực thi kế hoạch an ninh - Chịu trách nhiệm việc xây dựng, trì tham mưu sửa đổi sổ tay ISMS, thủ tục theo điều khoản 4, 6, phụ lục A.10.1 ISO 27001; biện pháp quản lý theo phụ lục A tiêu chuẩn ISO 27001 - Đảm bảo yêu cầu hệ thống quản lý ANTT truyền đạt thực thi Công ty - Làm việc với Ban an ninh tất hoạt động phạm vi trách nhiệm, quyền hạn Ban - Điều phối nhóm đối phó cố để giải vấn đề có liên quan cần huy động để đối phó cố - Đảm bảo đánh giá nội bên hoạch định thực - Tổ chức họp xem xét lãnh đạo hệ thống quản lý ANTT - Xúc tiến, xem xét phê duyệt chương trình đào tạo nhận thức ANTT Công ty - Tập hợp, xem xét, phân phối cho người chủ để giải quyết, phân tích báo cáo cố - Giám sát kịp thời phù hợp báo cáo không phù hợp có yêu cầu hành động khắc phục / phòng ngừa Triển khai giám sát hành động khắc phục, phòng ngừa - Đảm bảo biện pháp quản lý thực thi - Đảm bảo hoạt động an ninh thực thi tuân thủ sách thủ tục xác định MS: ST-ISMS Trang: 14/21 SỔ TAY HỆ THỐNG QUẢN LÝ AN NINH THÔNG TIN - Trình Giám đốc ANTT nhân đề cử vào chức danh sở đề nghị đơn vị 5.1.1.3 Ban an ninh - Xây dựng, trì thực thi sách thủ tục ISMS - Chịu trách nhiệm việc thực thi điều khoản ISO 27001 - Thực đánh giá rủi ro, chuẩn bị kế hoạch xử lý rủi ro tuyên bố áp dụng - Đảm bảo ISMS phù hợp với yêu cầu pháp luật hành, yêu cầu hoạt động Công ty - Đánh giá hệ thống dịch vụ nhằm đảm bảo an ninh trước đưa vào hệ thống, đồng thời xác định thực biện pháp quản lý phù hợp - Điều phối hoạt động ANTT Công ty - Tham mưu áp dụng kỹ thuật, công nghệ việc đảm bảo ANTT ISMS - Xác định xử lý không phù hợp gợi ý hành động phản ứng cố an ninh thông tin - Đồng phối hợp việc thực thi biện pháp quản lý ANTT - Tham gia xây dựng trì kế hoạch nhằm đảm bảo tính liên tục hoạt động - Tham gia vào hoạt động xem xét lãnh đạo - Xây dựng triển khai chương trình đào tạo an ninh thơng tin - Báo cáo diễn đàn ANTT vấn đề liên quan kỳ họp diễn đàn - Báo cáo kết đánh giá rủi ro cho diễn đàn ANTT thảo luận - Phối hợp chặt chẽ với phận việc tổ chức thực giải vấn đề ANTT - Tổng hợp, đề xuất Giám đốc an ninh biện pháp đảm bảo xử lý vi phạm ANTT 5.1.1.4 Đại diện an ninh đơn vị - Thông qua phụ trách đơn vị, phối hợp với Ban an ninh, phòng quản trị mạng việc đảm bảo an ninh thơng tin đơn vị MS: ST-ISMS Trang: 15/21 SỔ TAY HỆ THỐNG QUẢN LÝ AN NINH THÔNG TIN - Tổng hợp, đề xuất, báo cáo vấn đề an ninh đơn vị, thông qua phụ trách đơn vị, gửi đến phòng ban chức liên quan (Ban an ninh, phòng quản trị mạng) - Trao đổi, thảo luận, đề xuất diễn đàn ANTT vấn đề liên quan đến an ninh 5.1.1.5 Phịng Hành a Nhiệm vụ chung - Phối hợp với Ban an ninh việc chuẩn bị thực kế hoạch xử lý rủi ro - Cung cấp trợ giúp cần thiết phối hợp với phòng Quản trị mạng việc đào tạo nhận thức ANTT - Xác định tiêu chuẩn chức danh cho vị trí liên quan ISMS - Thực sách thủ tục lĩnh vực giao - Giải cố an ninh thông tin lĩnh vực giao - Tham gia xem xét đánh giá an ninh - Đảm bảo thực hành động khắc phục phòng ngừa liên quan - Triển khai thực kế hoạch xử lý rủi ro có liên quan đến đơn vị - Chịu trách nhiệm việc nhận biết yêu cầu pháp luật, chế định liên quan áp dụng Công ty, tổ chức cập nhật phổ biến yêu cầu chế định pháp luật có liên quan đến ANTT cho nhân viên - Hướng dẫn cho đội ngũ bảo vệ việc nhận biết khách hướng dẫn an ninh cho khách b Văn thư lưu trữ - Đảm bảo hồ sơ lưu tuân thủ thủ tục kiểm soát hồ sơ c Bảo vệ an ninh vật lý môi trường - Đảm bảo khuôn viên Công ty giám sát bảo vệ 24/24 - Đảm bảo việc kiểm soát vào tuân thủ sách thủ tục - Tham gia khóa đào tạo cho đội ngũ bảo vệ quan nhà nước tỉnh - Hướng dẫn an ninh cho khách - Đảm bảo thực quy định nêu sách ANTT liên quan đến công tác bảo vệ - Trong trường hợp khẩn cấp, bảo vệ có quyền thực biện pháp nhằm ngăn chặn hành vi vi phạm sách ANTT Cơng ty trường hợp nguy cấp (bảo, cháy, nổ, ngập nước, ngăn ngừa tội MS: ST-ISMS Trang: 16/21 SỔ TAY HỆ THỐNG QUẢN LÝ AN NINH THƠNG TIN phạm…) có khả ảnh hưởng đến tài sản thông tin, trường hợp bảo vệ phải báo cáo với Giám đốc ANTT và/hoặc Đại diện an ninh Công ty sau thực biện pháp ngăn chặn có điều kiện d Trao đổi thơng tin với bên ngồi - Nhận công văn đến gửi công văn - Quản lý việc trao đổi thơng tin với bên ngồi thông qua điện thoại, fax email e Quản lý tài sản chung - Thực kiểm kê tài sản xác định người chủ tài sản - Tham gia đánh giá rủi ro tất tài sản thông tin 5.1.1.6 Diễn đàn ANTT Diễn đàn an ninh tổ chức nhằm: - Trao đổi, thảo luận vấn đề an ninh thông tin - Xem xét sách an ninh thơng tin giải vấn đề liên quan đến ANTT - Giám sát thay đổi hoạt động có liên quan đến việc tiết lộ tài sản thông tin cho mối nguy nghiêm trọng - Xem xét giám sát kiện an ninh - Phê duyệt sáng kiến quan trọng nhằm nâng cao mức độ ANTT - Xác định vai trò trách nhiệm ANTT - Thảo luận định đánh giá rủi ro 5.1.1.7 Người dùng - Cam kết bảo mật thông tin - Tuân thủ nghiêm sách an ninh Công ty ban hành - Tuân thủ yêu cầu pháp luật, chế định nhận biết - Báo cáo kiện an ninh phát - Phối hợp với phụ trách đơn vị trì mơi trường an ninh - Tham gia cách tích cực vào hoạt động sáng kiến, cải thiện an ninh thông tin Công ty 5.2 Quản lý nguồn lực MS: ST-ISMS Trang: 17/21 SỔ TAY HỆ THỐNG QUẢN LÝ AN NINH THÔNG TIN 5.2.1 Cung cấp nguồn lực Lãnh đạo cung cấp nguồn lực để thiết lập, thực thi, vận hành, theo dõi, trì, xem xét cải tiến ISMS Nguồn lực bao gồm: tài chính, nhân lực, thời gian nguồn lực khác cần thiết nhằm đảm bảo hiệu lực ISMS Định kỳ đánh giá yêu cầu nguồn lực dựa sở đánh giá rủi ro, hồ sơ xem xét, hồ sơ đánh giá Dựa sở yêu cầu nguồn lực, lãnh đạo phê duyệt nguồn lực cần thiết 5.2.2 Năng lực, nhận thức đào tạo Nhân viên giao nhiệm vụ quản lý ISMS phải có kỹ kinh nghiệm lĩnh vực ANTT Khi kỹ kinh nghiệm không đáp ứng yêu cầu phải tiến hành đào tạo nhằm đảm bảo kỹ nhận thức đáp ứng yêu cầu nhiệm vụ giao Việc đào tạo cần: - Xác định nhu cầu đào tạo (bao gồm vị trí đặc biệt quản trị mạng, …) - Xác định tổ chức, cá nhân đủ điều kiện để tiến hành đào tạo - Tổ chức chương trình đào tạo - Duy trì hồ sơ tham dự, chương trình đào tạo phản hồi sau trình đào tạo Đánh giá nội Công ty tiến hành đánh giá nội lần năm Việc đánh giá tiến hành nhằm đảm bảo ISMS: - Tuân thủ yêu cầu tiêu chuẩn ISO 27001 - Tuân thủ yêu cầu pháp luật, chế định nghĩa vụ hợp đồng liên quan - Tuân thủ yêu cầu an ninh thông tin nhận biết - Được thực thi trì có hiệu Các đánh giá an ninh nội tiến hành theo thủ tục “Đánh giá nội bộ” Chuyên gia đánh giá khơng đánh giá lĩnh vực hoạt động phụ trách Trưởng ban an ninh phải đảm bảo không phù hợp xử lý Trưởng ban an ninh có trách nhiệm lập kế hoạch, tổ chức trì hồ sơ đánh giá Xem xét lãnh đạo ISMS MS: ST-ISMS Trang: 18/21 SỔ TAY HỆ THỐNG QUẢN LÝ AN NINH THÔNG TIN Đại diện an ninh có trách nhiệm chủ trì, phối hợp với Ban an ninh chuẩn bị kế hoạch xem xét lãnh đạo phù hợp với thủ tục “Xem xét lãnh đạo” Xem xét lãnh đạo ISMS thực thường xuyên hàng tuần phối hợp họp giao ban 01 lần năm sau lần đánh giá nội lúc phù hợp thỏa đáng cho việc cải tiến hệ thống Cuộc họp xem xét lãnh đạo bao gồm đánh giá hội cải tiến nhu cầu thay đổi ISMS, việc xem xét sách an ninh mục tiêu an ninh thơng tin xem xét lần năm Đầu vào họp xem xét lãnh đạo gồm: - Kết xem xét đánh giá ISMS - Phản hồi từ bên quan tâm - Các kỹ thuật, sản phẩm hay thủ tục có thể sử dụng tổ chức để cải tiến tính hiệu lực ISMS - Tình trạng hành động khắc phục phịng ngừa, điểm yếu mối đe dọa chưa nêu đầy đủ đánh giá rủi ro trước - Kết đo lường tính hiệu lực - Các hoạt động từ xem xét lãnh đạo trước - Các thay đổi ảnh hưởng đến ISMS (tổ chức, Luật, chế định, …) - Các khuyến nghị cải tiến Đầu xem xét lãnh đạo: - Cải tiến tính hiệu lực ISMS - Cập nhật đánh giá rủi ro kế hoạch xử lý rủi ro - Thay đổi thủ tục biện pháp quản lý ảnh hưởng đến ANTT cần để phản ứng lại kiện nội hay bên tác động lên ISMS, thay đổi gồm: • Các yêu cầu hoạt động chính, • Các u cầu an ninh, • Các q trình hoạt động yếu ảnh hưởng đến yêu cầu hoạt động yếu tại, • Các yêu cầu chế định pháp luật, • Các nghĩa vụ hợp đồng, • Các mức độ rủi ro chuẩn mực chấp nhận rủi ro - Các nhu cầu nguồn lực - Việc cải tiến cách thức đo lường tính hiệu lực biện pháp kiểm soát MS: ST-ISMS Trang: 19/21 SỔ TAY HỆ THỐNG QUẢN LÝ AN NINH THÔNG TIN Kết xem xét đánh giá phải lập thành tài liệu rõ ràng, hồ sơ trì theo thủ tục “Kiểm sốt tài liệu” thủ tục “Kiểm soát hồ sơ” Cải tiến ISMS 8.1 Cải tiến liên tục Đại diện an ninh Cơng ty có trách nhiệm việc cải tiến liên tục ISMS Đầu vào cho trình cải tiến có thể từ: - Các thay đổi mục tiêu sách an ninh - Các báo cáo đánh giá nội xem xét lãnh đạo - Các báo cáo cố an ninh - Kết phân tích kiện giám sát - Các hành động khắc phục phòng ngừa - Các thay đổi hoạt động yếu - Thay đổi bối cảnh rủi ro (môi trường: mối nguy lỗ hổng mới) - Các nguyên tắc công nghệ 8.2 Hành động khắc phục Đại diện an ninh Công ty có trách nhiệm xem xét đầu vào nhận biết (như khơng phù hợp) cho mục đích cải tiến chuẩn bị kế hoạch cải tiến với trợ giúp Ban an ninh Kế hoạch trình cho lãnh đạo phê duyệt (tham khảo thêm thủ tục “Hành động khắc phục”) Các biện pháp kiểm sốt ISMS Phần mơ tả việc chọn lựa thực thi biện pháp kiểm soát Thêm vào đó, việc chọn lựa biện pháp kiểm sốt trình bày khả áp dụng biện pháp kiểm soát đề nghị tiêu chuẩn Các mục tiêu kiểm soát biện pháp kiểm soát liệt kê phần trích từ tiêu chuẩn ISO 27001 Các biện pháp kiểm sốt có thể áp dụng cho Công ty đề cập xác định phần Các biện pháp kiểm sốt khơng áp dụng nêu mục “10 ngoại lệ” MS: ST-ISMS Trang: 20/21 SỔ TAY HỆ THỐNG QUẢN LÝ AN NINH THÔNG TIN (Tham khảo thêm “Tuyên bố áp dụng”) [Mơ tả tóm tắt biện pháp kiểm sốt] 10 Ngoại lệ: Không MS: ST-ISMS Trang: 21/21 ... NHẬN THỨC ANTT ĐẠI DIỆN AN NINH ĐÕN VỊ ĐẠI DIỆN AN NINH ĐÕN VỊ ĐẠI DIỆN AN NINH ĐÕN VỊ SƠ ĐỒ TỔ CHỨC AN NINH THÔNG TIN MS: ST-ISMS Trang: 6/21 SỔ TAY HỆ THỐNG QUẢN LÝ AN NINH THÔNG TIN 3.3 Vai... chuẩn ISO 27001 - Chính sách an ninh (A.5): Hỗ trợ định hướng lãnh đạo an ninh thơng tin theo u cầu hoạt động yếu, pháp luật chế định liên quan - Tổ chức ANTT (A.6): Duy trì an ninh thơng tin tổ... quản lý an ninh thông tin Công ty đề cập Sổ tay thuật ngữ định nghĩa Tài liệu tham khảo - Tiêu chuẩn ISO/ IEC 27001 - Tiêu chuẩn ISO/ IEC 27002 - Chính sách Hệ thống quản lý an ninh thông tin Công