1 Chuyên đề thực tập TRƯỜNG ĐẠI HỌC KINH TẾ QUỐC DÂN KHOA QUẢN TRỊ KINH DOANH  CHUYÊN ĐỀ THỰC TẬP ĐỀ TÀI: ĐỀ XUẤT ÁP DỤNG HỆ THỐNG QUẢN LÝ AN TOÀN THÔNG TIN THEO TIÊU CHUẨN ISO 27001:2008 TẠI CÔNG TY CỔ PHẦN TẬP ĐOÀN HIPT Giáo viên hướng dẫn : TS.ĐỖ THỊ ĐÔNG Sinh viên thực : NGUYỄN THỊ LIÊN Mã sinh viên : CQ501440 Lớp : QUẢN TRỊ CHẤT LƯỢNG Khóa : 50 HÀ NỘI, 05/2012 Nguyễn Thị Liên QTCL 50 Chuyên đề thực tập MỤC LỤC DANH MỤC CÁC BẢNG VÀ HÌNH VẼ DANH MỤC CÁC TỪ VIẾT TẮT LỜI MỞ ĐẦU CHƯƠNG 1: TỔNG QUAN VỀ CÔNG TY CỔ PHẦN .3 TẬP ĐOÀN HIPT .3 1.1 Giới thiệu Cơng ty Cổ phần Tập đồn HIPT 1.1.1 Giới thiệu chung Tập đoàn HIPT 1.1.2 Tuyên ngôn sứ mệnh mục tiêu 1.1.3 Quá trình hình thành phát triển 1.2 Các đặc điểm kinh tế kỹ thuật chủ yếu Công ty Cổ phần Tập đoàn HIPT 1.2.1 Sản phẩm dịch vụ thị trường .7 1.2.2 Cơ cấu tổ chức 1.2.3 Nguồn nhân lực 13 1.2.4 Cơ sở vật chất trang thiết bị 16 1.2.5 Đặc điểm vốn 18 1.3 Kết hoạt động Công ty Cổ phần Tập đoàn HIPT năm gần 19 1.3.1 Kết hoạt động kinh doanh .19 1.3.2 Những kết khác .22 CHƯƠNG : ĐỀ XUẤT ÁP DỤNG HỆ THỐNG QUẢN LÝ AN TỒN THƠNG TIN THEO TIÊU CHUẨN ISO 27001:2008 TẠI CƠNG TY CỔ PHẦN TẬP ĐỒN HIPT .25 2.1 Thực trạng quản lý an tồn thơng tin Cơng ty 25 2.1.1 Thực trạng quản lý an tồn thơng tin Tập đồn HIPT 25 2.1.2 Thực trạng hệ thống quản lý chất lượng ảnh hưởng tới an tồn thơng tin Tập đoàn HIPT 31 2.2 Sự cần thiết việc áp dụng tiêu chuẩn ISO 27001:2008 Công ty 41 Nguyễn Thị Liên QTCL 50 Chuyên đề thực tập 2.2.1 Tầm quan trọng hệ thống quản lý an tồn thơng tin 41 2.2.2 Lợi ích có ISMS .43 2.3 Đề xuất triển khai xây dựng áp dụng ISMS theo tiêu chuẩn ISO 27001:2008 Công ty Cổ phần Tập đoàn HIPT 46 2.3.1 Giai đoạn chuẩn bị 54 2.3.2 Đánh giá rủi ro .58 2.3.3 Xử lý rủi ro .59 2.3.4 Triển khai ISMS theo tiêu chuẩn ISO 27001:2008 62 2.3.5 Áp dụng ISMS theo tiêu chuẩn ISO 27001 65 2.3.6 Chuẩn bị đánh giá 67 2.3.7 Đánh giá chứng nhận .68 2.3.8 Duy trì cải tiến liên tục 69 2.4 Những thuận lợi khó khăn áp dụng ISMS theo tiêu chuẩn ISO 27001:2008 Cơng ty Cổ phần Tập đồn HIPT 69 2.4.1 Những thuận lợi .69 2.4.2 Những khó khăn .73 CHƯƠNG 3: ĐỀ XUẤT GIẢI PHÁP ĐỂ ÁP DỤNG THÀNH CÔNG HỆ THỐNG QUẢN LÝ AN TỒN THƠNG TIN THEO TIÊU CHUẨN ISO 27001:2008 TẠI CƠNG TY CỔ PHẦN TẬP ĐỒN HIPT 77 3.1 Nâng cao nhận thức cán nhân viên Công ty 77 3.2 Đào tạo nguồn nhân lực triển khai ISMS theo tiêu chuẩn ISO 27001:2008 80 3.3 Tuyển thêm nguồn nhân lực có chun mơn, kinh nghiệm 81 3.4 Đầu tư thêm sở vật chất, trang thiết bị cho việc triển khai ISMS 83 3.5 Sự cam kết mạnh từ phía ban lãnh đạo Tập đoàn 84 3.6 Sự tâm, nhiệt tình cán nhân viên 85 3.7 Thành lập ban đánh giá nội ISMS 85 3.8 Thuê tư vấn giỏi, có kinh nghiệm việc thiết lập quản lý ISMS 86 Nguyễn Thị Liên QTCL 50 Chuyên đề thực tập 3.9 Học hỏi, trao đổi kinh nghiệm với cơng ty nước nước ngồi áp dụng thành công ISMS theo tiêu chuẩn ISO 27001 86 3.10 Kiến nghị nhà nước 87 3.10.1.Hồn thiện mơi trường pháp lý, nâng cao lực quản lý Nhà nước 87 3.10.2.Đẩy mạnh việc phát triển nguồn lực an tồn thơng tin .87 3.10.3.Hỗ trợ nâng cao lực cạnh tranh cho Công ty bảo mật thông tin……… 88 3.10.4.Tăng cường nguồn vốn đầu tư cho bảo mật an tồn thơng tin 88 KẾT LUẬN 89 TÀI LIỆU THAM KHẢO 91 PHỤ LỤC A : Các yêu cầu tiêu chuẩn ISO 27001:2008 .93 PHỤ LỤC B: Các biểu mẫu tài liệu hệ thống quản lý ATTT 101 PHỤ LỤC C: Các tiêu chuẩn hệ thống an tồn thơng tin 102 PHỤ LỤC D: Sự phù hợp tiêu chuẩn ISO 27001:2008 với tiêu chuẩn ISO 9001:2008 104 Nguyễn Thị Liên QTCL 50 Chuyên đề thực tập DANH MỤC CÁC BẢNG VÀ HÌNH VẼ Hình 1.1: Sơ đồ cấu tổ chức Cơng ty CP Tập đồn HIPT Hình 1.2: Số lượng lao động HIPT từ năm 2000 đến năm 2011 14 Hình 1.3: Tỷ lệ lao động theo giới tính năm 2011 14 Hình 1.4: Tỷ lệ lao động theo trình độ năm 2011 15 Hình 1.5: Tỷ lệ lao động theo chức nhiệm vụ năm 2011 15 Hình 1.6: Tổng mức lợi nhuận HIPT năm qua 20 Hình 1.7: Biểu đồ tăng trưởng doanh thu HIPT 20 Hình 1.8: Đánh giá chung khách hàng Giải pháp thiết bị HIPT cung cấp tiêu chí cụ thể 23 Hình 2.1: Biều đồ phân bổ KPH 34 Hình 2.2: Biểu đồ Pareto phân loại điểm KPH xác định mức độ ảnh hưởng loại 35 Bảng 1.1: Cơ cấu lao động HIPT từ năm 2007 đến năm 2011 13 Bảng 1.2 : Nhà cửa, vật kiến trúc HIPT năm 2011 16 Bảng 1.3 : Thời gian khấu hao tài sản HIPT 17 Bảng 1.4: Tình hình tài sản HIPT ngày 31/12/2011 17 Bảng 1.5: Tình hình tài sản HIPT từ năm 2007 đến năm 2011 18 Bảng 1.6: Báo cáo kết hoạt động kinh doanh 19 Bảng 1.7: Nguồn vốn kinh doanh HIPT 22 Bảng 1.8: Tỷ lệ số phản hồi nhận tổng số phiếu phát hành 23 Bảng 2.1: Tình hình virus an ninh mạng tháng năm 2011 26 Bảng 2.2: Danh sách 10 virus lây nhiều tháng 06/2011 26 Bảng 2.3: Cách đánh giá mức độ bảo mật Tập đoàn HIPT 30 Bảng 2.4: Tổng kết điểm KPH 33 Bảng 2.5: Phân loại điểm KPH xác định mức độ ảnh hưởng loại 34 Bảng 2.6: Các giai đoạn triển khai ISMS theo tiêu chuẩn ISO 27001:2008 46 Bảng 2.7: Thời gian triển khai ISMS đến nhận chứng ISO 27001 53 Nguyễn Thị Liên QTCL 50 Chuyên đề thực tập DANH MỤC CÁC TỪ VIẾT TẮT ISMS : Hệ thống quản lý an tồn thơng tin ISO : Tổ chức Tiêu chuẩn Quốc tế CNTT : Công nghệ thông tin ATTT : An tồn thơng tin HIPT : Cơng ty Cổ phần Tập đồn HIPT HISN : Cơng ty TNHH Hệ thống Dịch vụ Thông tin HIPT HISC : Công ty TNHH Giải pháp Tư vấn Công nghệ HIPT HIBF : Công ty TNHH Giải pháp Ngân hàng Tài HIPT HIST : Công ty TNHH Thương mại Dịch vụ Tin học HIPT HISI : Công ty TNHH Dịch vụ Đầu tư TNHH 1TV : Trách nhiệm hữu hạn thành viên UBCKNN : Ủy ban chứng khoán nhà nước HĐQT : Hội đồng quản trị BKS : Ban kiểm sốt ĐHĐCĐ : Đại hội đồng cổ đơng TGĐ : Tổng giám đốc UNESCO : Tổ chức Giáo dục, Khoa học Văn hóa Liên Hợp Quốc CTTV : Công ty tư vấn CSH : Chủ sở hữu IT : Information technology Nguyễn Thị Liên QTCL 50 Chuyên đề thực tập ĐH : Đại học NV : Nhân viên TNDN : Thu nhập doanh nghiệp VLĐ : Vốn lưu động VCĐ : Vốn cố định BVQI : Tổ chức chứng nhận chất lượng quốc tế TUV : Tổ chức chứng nhận TUV Rheinland Việt Nam TCNS : Tổ chức nhân HCTH : Hành tổng hợp QHCC : Quan hệ công chúng QLCL : Quản lý chất lượng TCKT : Tài kế tốn KPH : Khơng phù hợp FPT-IS : Công ty Cổ phần Hệ thống Thông tin FPT KPI : Chỉ số đánh giá thực công việc DAS certificates : Tổ chức chứng nhận DAS Việt Nam TGĐ : Tổng giám đốc PTGĐ : Phó tổng giám đốc Nguyễn Thị Liên QTCL 50 Chuyên đề thực tập LỜI MỞ ĐẦU Trong kinh tế tồn cầu hóa thơng tin không đơn giản để trao đổi, để biết thêm việc xảy xung quanh sống mà vấn đề thơng tin cịn xem sống doanh nghiệp Thế nhưng, nhiều doanh nghiệp chưa nhận thức tầm quan trọng vấn đề bảo mật thông tin nguy xảy từ việc rị rỉ thơng tin nội doanh nghiệp Theo số liệu thống kê vấn đề bảo mật thông tin Tổ chức chứng nhận TUVRheinland Việt Nam, năm có 15.000 hồ sơ bệnh viện bị tìm thấy thùng rác, 30.000 mật tài khoản Internet bị công bố mạng, 25 người từ phòng phát triển kinh doanh công ty chuyển sang công ty đối thủ, ngân hàng phải trả hàng triệu USD bị công vào hệ thống giao dịch nghiệp vụ 300.000 số tài khoản tín dụng cá nhân bị trộm, số bị công bố Website Chỉ riêng năm 2011, Việt Nam, hàng trăm Website có “tên tuổi” Việt Nam bị thay đổi giao diện, chiếm quyền điều khiển bị xóa liệu Việc cơng ty bị hacker cơng khơng có dấu hiệu ngừng năm 2012 Trước thực trạng trộm cắp thông tin mạng ngày phát triển kỹ thuật lẫn mức độ nguy hiểm nay, việc áp dụng hệ thống quản lý bảo mật thông tin việc làm quan trọng doanh nghiệp thời kỳ kinh tế hội nhập tồn cầu hóa Trên thời giới, nhiều công ty lớn áp dụng thành cơng hệ thống quản lý an tồn thông tin (ISMS) theo tiêu chuẩn ISO 27001:2005 để đảm bảo an tồn thơng tin Tại Việt Nam, số công ty áp dụng thành công hệ thống như: Công ty Cổ phần Hệ thống thông tin FPT-IS, Công ty TNHH Giải pháp Phần mềm CMC Software, Công ty TNHH CSC Việt Nam…và Công ty Cổ phần Công nghệ Tinh Vân Đối với công ty hoạt động lĩnh vực CNTT Cơng ty Cổ phần Tập đồn HIPT việc xây dựng áp dụng hệ thống quản lý bảo mật thông tin vô cần thiết để đảm bảo an tồn thơng tin tạo dựng lịng tin khách hàng đối tác Xuất phát từ thực tế trên, em lựa chọn viết chuyên đề thực tập với đề tài “Đề xuất áp dụng hệ thống quản lý an tồn thơng tin theo tiêu chuẩn ISO Nguyễn Thị Liên QTCL 50 Chuyên đề thực tập 27001:2008 Cơng ty Cổ phần Tập đồn HIPT” Em mong muốn hệ thống thông tin Tập đoàn HIPT quản lý cách chặt chẽ, khơng xảy tình trạng rị rỉ thơng tin gây thiệt hại cho Tập đồn từ tạo điều kiện để Tập đoàn HIPT đạt chứng ISO 27001:2008 an ninh bảo mật Chuyên đề thực tập em gồm chương: Chương 1: Tổng quan Cơng ty Cổ phần Tập đồn HIPT Chương 2: Đề xuất áp dụng hệ thống quản lý an toàn thông tin (ISMS) theo tiêu chuẩn ISO 27001:2008 Công ty Cổ phần Tập đoàn HIPT Chương 3: Đề xuất giải pháp để áp dụng thành công hệ thống quản lý an tồn thơng tin (ISMS) theo tiêu chuẩn ISO 27001:2008 Cơng ty Cổ phần Tập đồn HIPT Em xin gửi lời cảm ơn chân thành đến thầy cô Khoa Quản trị Kinh doanh – Trường Đại học Kinh tế Quốc dân dậy dỗ em suốt năm học đại học Và đặc biệt, em xin cảm ơn cô giáo – TS.Đỗ Thị Đông nhiệt tình hướng dẫn bảo cho em suốt thời gian viết chuyên đề thực tập Em xin chân thành cảm ơn Ban lãnh đạo Công ty Cổ phần Tập đoàn HIPT, anh chị Ban Quản lý chất lượng Tập đoàn tạo điều kiện cho em tìm hiểu đề tài Mặc dù cố gắng nhiều xong chuyên đề thực tập khơng tránh khỏi thiếu xót Mong q thầy bạn đọc quan tâm góp ý để chun đề em hồn thiện ứng dụng vào Tập đoàn HIPT cách hiệu Em xin chân thành cảm ơn! Nguyễn Thị Liên QTCL 50 Chuyên đề thực tập Quá trình hình thành phát triển Cơng ty CP Tập đoàn HIPT chia làm ba giai đoạn sau : - Giai đoạn từ năm 1994 đến năm 1999 Vào thập niên 90 CNTT phát triển mạnh mẽ Việt Nam Nhiều Tập đoàn CNTT lớn giới vào Việt Nam tìm thị trường mới, công ty, doanh nghiệp tin học thành lập để đáp ứng nhu cầu CNTT Vào thời điểm này, cơng ty tin học có tên Công ty TNHH Hỗ trợ Phát triển Tin học với tên giao dịch tiếng Anh High – Performance Technology Company Limited, thức thành lập vào ngày 18-06-1994 với hợp tác HP FPT Sau để tránh nhầm lẫn với số đơn vị khác hệ thống HP, Công ty lấy tên viết tắt HIPT có trụ sở 12/13B Phạm Ngũ Lão Dưới hợp tác giúp đỡ HP FPT, HIPT trở thành đại lý thức hãng HP (Hewlett Packard) Việt Nam vào ngày 01-07-1994 Đến năm 1998, HIPT trở thành Tổng Đại lý Dự án (Corporate Reseller) Huyndai Điều cho thấy bước tiến vững HIPT thị trường CNTT Việt Nam - Giai đoạn từ năm 2000 đến năm 2005 Với xu phát triển kinh tế đất nước với lớn mạnh không ngừng ngành CNTT, để đáp ứng tốt nhu cầu khách hàng mở rộng thị trường hoạt động HIPT, Công ty TNHH Hỗ trợ Phát triển Tin học (HIPT Co.,Ltd) chuyển đổi thành Công ty Cổ phần Hỗ trợ Phát triển Tin học (HIPT) Sở Kế hoạch Đầu tư thành phố Hà Nội cấp giấy chứng nhận Đăng ký kinh doanh số 0103000008 vào ngày 29-02-2000 Việc chuyển đổi đánh dấu trình phát triển trưởng thành HIPT tầm nhìn nắm bắt xu phát triển kinh tế đất nước Bằng việc tăng vốn điều lệ từ 500 triệu đồng lên 5,12 tỷ đồng củng cố lại tổ chức, HIPT thể tâm cao việc giữ vững phấn đấu nâng cao vị thị trường tin học Việt Nam Và thành công sau chuyển đổi HIPT trở thành Đối tác (Registered partner) Microsoft – hãng phần mềm lớn nước Mỹ vào thời điểm Không dừng lại đó, năm 2002, HIPT trở thành đối tác (Select Partner) RSA Security Nhà cung cấp giải pháp (Solution Provider) Oracle Cũng năm 2002 này, Công ty triển khai xây dựng Trung tâm Giao dịch Điện tử Phần mềm Hà Nội (HANESC) 152 Thụy Khuê, Tây Hồ, Hà Nội với tổng giá trị đầu tư khoảng 40 tỷ đồng Đến năm 2004, tòa nhà khánh Nguyễn Thị Liên QTCL 50 92 Chuyên đề thực tập Dejan Kosutic (21/06/2010), Bốn lợi ích lớn việc thực ISO 27001, www.yeumoitruong.vn 10 Hồ My Nin (30/04/2011), Rủi ro an ninh thông tin hệ thống Quản lý an tồn thơng tin theo ISO 27001:2005, www.yeumoitruong.vn 11 Cục Thương mại Điện tử (08/12/2010), Xây dựng hệ thống ATTT dựa tiêu chuẩn ISO/IEC 27001, www.khoahocphothong.com.vn 12 TS.Trịnh Ngọc Minh (15/04/2011), Xây dựng hệ thống ISMS & chứng ISO 27001, www.quantrimang.com.vn Nguyễn Thị Liên QTCL 50 94 Chuyên đề thực tập - Được ban quản lý cho phép cài đặt vận hành ISMS - Chuẩn bị thông báo áp dụng ❖ Triển khai điều hành ISMS - Lập kế hoạch xử lý rủi ro xác định hoạt động quản lý thích hợp, tài nguyên, trách nhiệm mức độ ưu tiên để quản lý rủi ro an tồn thơng tin Triển khai kế hoạch xử lý rủi ro nhằm đạt mục tiêu quản lý xác định bao gồm xem xét kinh phí đầu tư phân bổ vai trò, trách nhiệm - Triển khai biện pháp quản lý lựa chọn để thỏa mãn mục tiêu quản lý - Định nghĩa cách tính tốn mức độ hiệu biện pháp quản lý nhóm biện pháp quản lý lựa chọn kết sử dụng việc đánh giá tính hiệu quản lý nhằm tạo kết so sánh tái tạo - Triển khai chương trình đào tạo nâng cao nhận thức - Quản lý hoạt động ISMS - Quản lý tài nguyên dành cho ISMS - Triển khai thủ tục biện pháp quản lý khác có khả phát kiện ATTT phản ứng với cố ATTT ❖ Giám sát soát xét ISMS - Tiến hành giám sát, soát xét lại thủ tục biện pháp quản lý an tồn thơng tin khác Nguyễn Thị Liên QTCL 50 94 Chuyên đề thực tập - Được ban quản lý cho phép cài đặt vận hành ISMS - Chuẩn bị thông báo áp dụng ❖ Triển khai điều hành ISMS - Lập kế hoạch xử lý rủi ro xác định hoạt động quản lý thích hợp, tài nguyên, trách nhiệm mức độ ưu tiên để quản lý rủi ro an tồn thơng tin Triển khai kế hoạch xử lý rủi ro nhằm đạt mục tiêu quản lý xác định bao gồm xem xét kinh phí đầu tư phân bổ vai trò, trách nhiệm - Triển khai biện pháp quản lý lựa chọn để thỏa mãn mục tiêu quản lý - Định nghĩa cách tính tốn mức độ hiệu biện pháp quản lý nhóm biện pháp quản lý lựa chọn kết sử dụng việc đánh giá tính hiệu quản lý nhằm tạo kết so sánh tái tạo - Triển khai chương trình đào tạo nâng cao nhận thức - Quản lý hoạt động ISMS - Quản lý tài nguyên dành cho ISMS - Triển khai thủ tục biện pháp quản lý khác có khả phát kiện ATTT phản ứng với cố ATTT ❖ Giám sát soát xét ISMS - Tiến hành giám sát, soát xét lại thủ tục biện pháp quản lý an tồn thơng tin khác Nguyễn Thị Liên QTCL 50 95 Chuyên đề thực tập - Thường xuyên kiểm tra, sốt xét hiệu ISMS - Tính tốn hiệu biện pháp quản lý thỏa mãn yêu cầu bảo đảm ATTT - Soát xét lại đánh giá rủi ro tiến hành đồng thời soát xét rủi ro bỏ qua mức độ rủi ro chấp nhận - Thực việc kiểm tra nội ISMS cách định kỳ - Đảm bảo thường xuyên kiểm tra việc quản lý ISMS để đánh giá mục tiêu đặt có cịn phù hợp nâng cấp xác định nâng cấp cần thiết cho ISMS - Cập nhật kế hoạch bảo đảm ATTT theo sát thay đổi tình hình thực tế thu qua hoạt động giám sát đánh giá - Ghi chép, lập tài liệu kiện hoạt động có khả hưởng đến tính hiệu hiệu lực ISMS ❖ Duy trì nâng cấp ISMS - Triển khai nâng cấp cho ISMS xác định - Tiến hành hoàn chỉnh có biện pháp phịng ngừa thích hợp - Thơng báo thống với thành phần liên quan hoạt động nâng cấp ISMS - Đảm bảo việc thực nâng cấp phải phù hợp với mục tiêu đặt Các yêu cầu hệ thống tài liệu ❖ Biện pháp quản lý - Phê duyệt tài liệu thỏa đáng trước ban hành Nguyễn Thị Liên QTCL 50 96 Chuyên đề thực tập - Soát xét tài liệu tiến hành sửa đổi cần thiết để phê duyệt lại - Đảm bảo nhận biết thay đổi tình trạng sửa đổi hành tài liệu - Đảm bảo phiên tài liệu thích hợp ln có sẵn nơi cần sử dụng - Đảm bảo tài liệu phải rõ ràng, dễ đọc dễ nhận biết - Đảm bảo tài liệu phải sẵn sàng người cần, chuyển giao, lưu trữ hủy bỏ áp dụng theo thủ tục phù hợp - Đảm bảo tài liệu có nguồn gốc bên ngồi nhận biết - Đảm bảo việc phân phối tài liệu phải quản lý - Tránh việc vơ tình sử dụng phải tài liệu hạn - Áp dụng biện pháp định danh phù hợp tài liệu cần lưu trữ ❖ Biện pháp quản lý hồ sơ Các hồ sơ thiết lập trì để cung cấp dẫn chứng thể phù hợp yêu cầu hoạt động điều hành ISMS Các hồ sơ bảo vệ quản lý Hồ sơ phải dễ đọc, dễ nhận biết sửa Các hồ sơ giữ theo quy trình Trách nhiệm ban lãnh đạo II Cam kết ban lãnh đạo - Thiết lập sách cho hệ thống bảo đảm ATTT - Đảm bảo mục tiêu kế hoạch ISMS xây dựng Nguyễn Thị Liên QTCL 50 97 Chuyên đề thực tập - Xây dựng vai trò trách nhiệm ATTT - Trao đổi với tổ chức mục tiêu bảo đảm ATTT làm cho phù hợp với sách ATTT, trách nhiệm luật cần thiết tiếp tục cải tiến - Thơng tin cho tồn tổ chức biết tầm quan trọng mục tiêu ATTT cần đạt được, tuân thủ sách ATTT, trách nhiệm trước pháp luật cần thiết phải nâng cấp, cải thiện hệ thống cách thường xuyên - Cung cấp đầy đủ tài nguyên cho trình thiết lập, triển khai, điều hành, giám sát, kiểm tra, bảo trì nâng cấp ISMS - Xác định tiêu cho rủi ro mức độ rủi ro chấp nhận - Đảm bảo việc đạo q trình kiểm tốn nội ISMS - Chỉ đạo việc soát xét quản lý ISMS Quản lý nguồn lực ❖ Cấp phát nguồn lực Tổ chức cần phải xác định cung cấp nguồn lực cần thiết nhằm: - Thiết lập, triển khai, điều hành, giám sát, sốt xét, bảo trì nâng cấp ISMS - Đảm bảo quy trình bảo đảm ATTT hỗ trợ cho yêu cầu nghiệp vụ - Xác định áp dụng yêu cầu pháp lý quy định ràng buộc an tồn thơng tin phải tn thủ - Duy trì đầy đủ an toàn bảo mật cách áp dụng tất biện pháp quản lý triển khai Nguyễn Thị Liên QTCL 50 98 Chuyên đề thực tập - Thực sốt xét có biện pháp xử lý cần thiết - Nâng cao lực ISMS cần thiết ❖ Đào tạo, nhận thức lực - Xác định kỹ cần thiết để thực hiệu cơng việc giao - Cung cấp khóa đào tạo tuyển chọn người có lực để thỏa mãn yêu cầu - Đánh giá mức độ hiệu hoạt động thực - Lưu giữ hồ sơ việc học vấn, trình đào tạo, kỹ năng, kinh nghiệm trình độ chuyên môn Kiểm tra nộ ISMS III Kiểm tra nội ISMS - Các chương trình kiểm tra lên kế hoạch cần xem xét đến vấn đề trạng ý nghĩa quy trình phạm vi kiểm tra - Các tiêu, phạm vi, tần suất biện pháp xác định - Sự lựa chọn người tiến hành kiểm tra (kiểm tra viên) cách hướng dẫn, đạo kiểm tra đảm bảo tính khách quan, cơng cho q trình kiểm tra Kiểm tra viên khơng nên tự kiểm tra cơng việc - Các trách nhiệm yêu cầu cho việc lập kế hoạch hướng dẫn kiểm tra, báo cáo kết lưu giữ hồ sơ phải xác định rõ ràng thủ tục dạng văn - Ban quản lý chịu trách nhiệm cho phạm vi kiểm tra phải đảm bảo hoạt động thực thời hạn nhằm loại bỏ vi phạm Các Nguyễn Thị Liên QTCL 50 99 Chuyên đề thực tập hoạt động bao gồm việc thẩm tra hoạt động thực lập báo cáo kết thẩm tra Ban quản lý soát xét ISMS IV Đầu vào việc soát xét - Các kết kiểm tra soát xét ISMS - Thông tin phản hồi từ phận có liên quan - Các kỹ thuật, sản phẩm thủ tục sử dụng tổ chức nhằm nâng cao hiệu lực ISMS - Hiện trạng trạng hành động ngăn ngừa khắc phục, sửa chữa - Các lỗ hổng nguy an tồn thơng tin khơng đề cập cách thấu đáo lần đánh giá rủi ro trước - Các kết đánh giá lực hệ thống - Các hoạt động lần sốt xét trước - Các thay đổi có ảnh hưởng đến ISMS - Các kiến nghị nhằm cải thiện hệ thống Đầu việc soát xét - Nâng cao lực hệ thống ISMS - Cập nhật kế hoạch đánh giá xử lý rủi ro - Sửa đổi thủ tục biện pháp quản lý có ảnh hưởng cần thiết đến bảo đảm an tồn thơng tin nhằm đối phó lại với kiện gây tác động đến ISMS - Các nhu cầu cần thiết tài nguyên - Nâng cao phương thức đánh giá mức độ hiệu biện pháp quản lý Nguyễn Thị Liên QTCL 50 100 Nâng cấp ISMS V Chuyên đề thực tập Nâng cấp thường xuyên Tổ chức phải thường xuyên nâng cao tính hiệu lực ISMS thơng qua việc tận dụng sách đảm bảo ATTT, mục tiêu đảm bảo ATTT, kết kiểm tra, kết phân tích kiện xảy ra, hành động ngăn ngừa khắc phục kết soát xét ban quản lý Hành động khắc phụ - Xác định vi phạm - Tìm nguyên nhân vi phạm - Đánh giá hành động cần thiết nhằm ngăn chặn vi phạm xuất trở lại - Quyết định triển khai hành động khắc phục cần thiết - Lập hồ sơ kết thực hành động - Soát xét lại hành động khắc phục thực Hành động phòng ngừa - Xác định vấn đề vi phạm tiềm ẩn nguyên nhân gây chúng - Đánh giá cần thiết hành động ngăn chặn vi phạm xuất - Xác định triển khai hành động - Lập hồ sơ hành động - Soát xét hành động thực Nguyễn Thị Liên QTCL 50 103 11 ISO/IEC 27011:2008 – Hướng dẫn quản lý ATTT viễn thông 12 ISO/IEC 27012 – Hướng dẫn quản lý Chuyên đề thực tập ATTT phủ điện tử (e-government) 13 ISO/IEC 27031 – Tiêu chuẩn kinh doanh liên tục hướng CNTT truyền thông 14 ISO/IEC 27032 – Hướng dẫn an ninh máy tính 15 ISO/IEC 27033 – An ninh mạng IT (thay tiêu chuẩn ISO/IEC 18028) 16 ISO/IEC 27034 – Hướng dẫn an ninh ứng dụng 17 ISO/IEC 27035 – Quản lý cố an ninh (thay ISO TR 18044) Nguyễn Thị Liên QTCL 50 103 11 ISO/IEC 27011:2008 – Hướng dẫn quản lý ATTT viễn thông 12 ISO/IEC 27012 – Hướng dẫn quản lý Chuyên đề thực tập ATTT phủ điện tử (e-government) 13 ISO/IEC 27031 – Tiêu chuẩn kinh doanh liên tục hướng CNTT truyền thông 14 ISO/IEC 27032 – Hướng dẫn an ninh máy tính 15 ISO/IEC 27033 – An ninh mạng IT (thay tiêu chuẩn ISO/IEC 18028) 16 ISO/IEC 27034 – Hướng dẫn an ninh ứng dụng 17 ISO/IEC 27035 – Quản lý cố an ninh (thay ISO TR 18044) Nguyễn Thị Liên QTCL 50 103 11 ISO/IEC 27011:2008 – Hướng dẫn quản lý ATTT viễn thông 12 ISO/IEC 27012 – Hướng dẫn quản lý Chuyên đề thực tập ATTT phủ điện tử (e-government) 13 ISO/IEC 27031 – Tiêu chuẩn kinh doanh liên tục hướng CNTT truyền thông 14 ISO/IEC 27032 – Hướng dẫn an ninh máy tính 15 ISO/IEC 27033 – An ninh mạng IT (thay tiêu chuẩn ISO/IEC 18028) 16 ISO/IEC 27034 – Hướng dẫn an ninh ứng dụng 17 ISO/IEC 27035 – Quản lý cố an ninh (thay ISO TR 18044) Nguyễn Thị Liên QTCL 50 Chuyên đề thực tập 105 4.3.3 Quản lý hồ sơ 4.2.3 Kiểm soát tài liệu 4.2.4 Kiểm soát hồ sơ Trách nhiệm ban quản lý Trách nhiệm lãnh đạo 5.1 Cam kết ban quản lý 5.1 Cam kết lãnh đạo 5.2 Hướng vào khách hàng 5.3 Chính sách chất lượng 5.4 Hoạch định 5.5 Trách nhiệm, quyền hạn trao đổi thông tin 5.2 Quản lý nguồn lực Quản lý nguồn lực 5.2.1 Dự phòng nguồn lực 6.1 Cung cấp nguồn lực 5.2.2 Đào tạo, nhận thức, trình độ 6.2 Nguồn nhân lực 6.2.2 Năng lực, nhận thức đào tạo 6.3 Cơ sở hạ tầng 6.4 Môi trường làm việc Kiểm tra nội ISMS 8.2.2 Đánh giá nội Ban quản lý soát xét ISMS 5.6 Xem xét lãnh đạo 7.1 Khái quát 5.6.1 Khái quát 7.2 Đầu vào cho việc soát xét 5.6.2 Đầu vào việc soát xét 7.3 Đầu việc soát xét 5.6.3 Đầu việc soát xét Nâng cấp ISMS 8.5 Cải tiến 8.1 Nâng cấp thường xuyên 8.5.1 Cải tiến liên tục 8.2 Hành động khắc phục 8.5.2 Hành động khắc phục 8.3 Hành động phòng ngừa 8.5.3 Hành động phòng ngừa Nguyễn Thị Liên QTCL 50 Chuyên đề thực tập 105 4.3.3 Quản lý hồ sơ 4.2.3 Kiểm soát tài liệu 4.2.4 Kiểm soát hồ sơ Trách nhiệm ban quản lý Trách nhiệm lãnh đạo 5.1 Cam kết ban quản lý 5.1 Cam kết lãnh đạo 5.2 Hướng vào khách hàng 5.3 Chính sách chất lượng 5.4 Hoạch định 5.5 Trách nhiệm, quyền hạn trao đổi thông tin 5.2 Quản lý nguồn lực Quản lý nguồn lực 5.2.1 Dự phòng nguồn lực 6.1 Cung cấp nguồn lực 5.2.2 Đào tạo, nhận thức, trình độ 6.2 Nguồn nhân lực 6.2.2 Năng lực, nhận thức đào tạo 6.3 Cơ sở hạ tầng 6.4 Môi trường làm việc Kiểm tra nội ISMS 8.2.2 Đánh giá nội Ban quản lý soát xét ISMS 5.6 Xem xét lãnh đạo 7.1 Khái quát 5.6.1 Khái quát 7.2 Đầu vào cho việc soát xét 5.6.2 Đầu vào việc soát xét 7.3 Đầu việc soát xét 5.6.3 Đầu việc soát xét Nâng cấp ISMS 8.5 Cải tiến 8.1 Nâng cấp thường xuyên 8.5.1 Cải tiến liên tục 8.2 Hành động khắc phục 8.5.2 Hành động khắc phục 8.3 Hành động phòng ngừa 8.5.3 Hành động phòng ngừa Nguyễn Thị Liên QTCL 50 Chuyên đề thực tập 106 Phụ lục A: Các mục tiêu quản lý biện pháp quản lý Phụ lục A: Sự tượng ứng TCVN ISO 9001:2008 TCVN ISO Phụ lục B: Các nguyên tắc OECD tiêu chuẩn 14001:2005 Phụ lục C: Sự phù hợp chuẩn Phụ lục B: Những thay đổi ISO 9001:2008 so với ISO 9001:2000 ISO 9001:2000, ISO 14001:2004 tiêu chuẩn quốc tế Nguyễn Thị Liên QTCL 50 ... thơng tin (ISMS) theo tiêu chuẩn ISO 27001: 2008 Công ty Cổ phần Tập đoàn HIPT Chương 3: Đề xuất giải pháp để áp dụng thành cơng hệ thống quản lý an tồn thông tin (ISMS) theo tiêu chuẩn ISO 27001: 2008. .. để đảm bảo an toàn thông tin Tại Việt Nam, số công ty áp dụng thành công hệ thống như: Công ty Cổ phần Hệ thống thông tin FPT-IS, Công ty TNHH Giải pháp Phần mềm CMC Software, Công ty TNHH CSC... kiện để Tập đoàn HIPT đạt chứng ISO 27001: 2008 an ninh bảo mật Chuyên đề thực tập em gồm chương: Chương 1: Tổng quan Công ty Cổ phần Tập đoàn HIPT Chương 2: Đề xuất áp dụng hệ thống quản lý an tồn