1. Trang chủ
  2. » Tất cả

Microsoft powerpoint 3 NVDXHDDNN chuong03 HeThongThongTinQuanLyATTT

11 2 0

Đang tải... (xem toàn văn)

Tài liệu hạn chế xem trước, để xem đầy đủ mời bạn chọn Tải xuống

THÔNG TIN TÀI LIỆU

Thông tin cơ bản

Định dạng
Số trang 11
Dung lượng 661,21 KB

Nội dung

Microsoft PowerPoint 3 NVDXHDDNN Chuong03 HeThongThongTinQuanLyATTT 30082020 1 Chương 3 HỆ THỐNG QUẢN LÝ AN TOÀN THÔNG TIN (Information Security Management System) Gv Nguyễn Thị Hạnh Hệ thống quản lí. Những yêu cầu về an toàn thông tin trong hệ thống

30/08/2020 Chương 3: HỆ THỐNG QUẢN LÝ AN TỒN THƠNG TIN (Information Security Management System) Gv: Nguyễn Thị Hạnh Hệ thống quản lý ATTT (ISMS) ˗ Bên cạnh rủi ro ATTT bị cơng phá hoại có chủ đích, tổ chức gặp phải rủi ro thơng tin nếu: Các quy trình quản lý, vận hành không đảm bảo; Việc quản lý quyền truy cập chưa kiểm tra xem xét định kỳ; Nhận thức nhân viên việc sử dụng trao đổi thông tin chưa đầy đủ… ˗ Do đó, ngồi biện pháp kỹ thuật, tổ chức cần xây dựng áp dụng sách, quy định, quy trình vận hành phù hợp để giảm thiểu rủi ro ˗ Tùy vào quy mô lĩnh vực hoạt động, tổ chức có phương thức tiếp cần khác để xây dựng hệ thống quản lý ATTT phù hợp 30/08/2020 Hệ thống quản lý ATTT (ISMS) ˗ Information Security Management System – ISMS ˗ công cụ để nhà lãnh đạo quản lý thực giám sát, quản lý hệ thống thông tin, tăng cường mức độ an toàn, bảo mật, giảm thiểu rủi ro cho hệ thống thông tin, đáp ứng mục tiêu doanh nghiệp, tổ chức Hệ thống quản lý ATTT (ISMS) ˗ Thiết kế triển khai Hệ thống ISMS phụ thuộc vào mục tiêu, yêu cầu ATTT cần phải đạt được, quy trình vận hành, quy mô cấu tổ chức ˗ Hệ thống ISMS đòi hỏi phải xem xét, cập nhật để phù hợp với thay đổi tổ chức nâng cao mức độ an toàn với Hệ thống lưu trữ, xử lý thông tin ˗ Tổ chức cần cân nhắc chi phí đầu tư xây dựng triển khai ISMS phù hợp với nhu cầu đảm bảo ATTT ˗ Sau xây dựng hệ thống ISMS doanh nghiệp nhận Chứng An tồn bảo mật thơng tin 30/08/2020 Hệ thống quản lý ATTT (ISMS) ˗ Việc áp dụng ISMS định mang tính chiến lược tổ chức Hệ thống quản lý an tồn thơng tin (ISMS) trì tính bảo mật, tính tồn vẹn tính sẵn sàng thơng tin cách áp dụng trình quản lý rủi ro mang lại tin cậy cho bên quan tâm rủi ro quản lý đầy đủ Lợi ích áp dụng ISMS 1) Đảm bảo ATTT tổ chức, đối tác khách hàng, giúp cho hoạt động tổ chức ln thơng suốt an tồn 2) Giúp nhân viên tuân thủ việc đảm bảo ATTT hoạt động nghiệp vụ thường ngày; Các cố ATTT người dùng gây hạn chế tối đa nhân viên đào tạo, nâng cao nhận thức ATTT 3) Giúp hoạt động đảm bảo ATTT ln trì cải tiến Các biện pháp kỹ thuật sách tuân thủ xem xét, đánh giá, đo lường hiệu cập nhật định kỳ 30/08/2020 Lợi ích áp dụng ISMS 4) Đảm bảo hoạt động nghiệp vụ tổ chức không bị gián đoạn cố liên quan đến ATTT 5) Nâng cao uy tín tổ chức, tăng sức cạnh tranh, tạo lòng tin với khách hàng, đối tác, thúc đẩy q trình tồn cầu hóa tăng hội hợp tác quốc tế Tiêu chuẩn ISO/IEC 27001:2013 ˗ ISO/IEC 27001 tiêu chuẩn quốc tế Hệ thống quản lý an ninh thông tin (ISMS) ˗ ISO/IEC 27001 tiêu chuẩn quy định yêu cầu việc xây dựng áp dụng hệ thống quản lý ATTT nhằm đảm bảo tính bảo mật (confidentiality), tính nguyên vẹn (integrity) tính sẵn sàng (availability) tài sản thông tin tổ chức 30/08/2020 Tiêu chuẩn ISO/IEC 27001:2013 ˗ Là tiêu chuẩn tiêu chuẩn ISO/IEC 27000 quản lý ATTT, xây dựng dựa tiêu chuẩn quản lý an tồn thơng tin BS 7799 Viện Tiêu chuẩn Anh (British Standards Institute - BSI) ˗ Năm 2005, tiêu chuẩn ban hành lần tiêu chuẩn ISO/IEC 27001:2005, đến năm 2013 ban hành tiêu chuẩn lần ISO/IEC 27001:2013 Tiêu chuẩn ISO/IEC 27001:2013 ˗ Đối tượng áp dụng: cho nhiều loại hình tổ chức (thương mại, quan nhà nước, phi lợi nhuận ) Đặc biệt tổ chức mà hoạt động phụ thuộc nhiều vào CNTT, máy tính, mạng máy tính, sử dụng CSDL ngân hàng, tài chính, viễn thơng, ˗ Một hệ thống ISMS theo tiêu chuẩn ISO/IEC 27001:2013 đem lại tin tưởng bên liên quan đối tác, khách hàng, tổ chức ˗ Doanh nhiệp cấp Chứng An toàn bảo mật thông tin ISO 27001:2013 30/08/2020 Tiêu chuẩn ISO/IEC 27001:2013 ˗ Tiêu chuẩn xây dựng nhằm cung cấp yêu cầu cho việc thiết lập, triển khai, trì cải tiến liên tục Hệ thống quản lý an tồn thơng tin (ISMS) ˗ ISO/IEC 27001 đặc tả yêu cầu cần thiết cho việc thiết lập, vận hành giám sát hoạt động ISMS; đưa nguyên tắc cho việc khởi tạo, thực thi, trì cải tiến ISMS ˗ Tiêu chuẩn đưa quy tắc bảo mật thông tin đánh giá tuân thủ phận bên tổ chức, xây dựng yêu cầu bảo mật thông tin mà đối tác, khách hàng cần phải tuân thủ làm việc với tổ chức Cấu trúc Tiêu chuẩn ISO 27001: 2013 ˗ Nguyễn Thị Hạnh 30/08/2020 Cấu trúc Tiêu chuẩn ISO 27001: 2013 ˗ Gồm có 07 điều khoản (từ phần đến phần 10 Tiêu chuẩn) ˗ Các điều khoản đưa yêu cầu bắt buộc công việc cần thực việc thiết lập, vận hành, trì, giám sát nâng cấp Hệ thống ISMS tổ chức ˗ Bất kỳ vi phạm tổ chức so với quy định nằm 07 điều khoản coi không tuân thủ theo tiêu chuẩn Cấu trúc Tiêu chuẩn ISO 27001: 2013 ˗ Điều khoản - Phạm vi tổ chức: Đưa yêu cầu cụ thể để tổ chức quy mô, lĩnh vực hoạt động yêu cầu, kỳ vọng bên liên quan thiết lập phạm vi Hệ thống quản lý ATTT phù hợp ˗ Điều khoản - Lãnh đạo: Quy định vấn đề trách nhiệm Ban lãnh đạo tổ chức Hệ thống ISMS, bao gồm yêu cầu cam kết, tâm Ban lãnh đạo việc xây dựng trì hệ thống; yêu cầu việc cung cấp nguồn lực, tài để vận hành hệ thống 30/08/2020 Cấu trúc Tiêu chuẩn ISO 27001: 2013 ˗ Điều khoản - Lập kế hoạch: Tổ chức cần định nghĩa áp dụng quy trình đánh giá rủi ro, từ đưa quy trình xử lý Điều khoản đưa yêu cầu việc thiết lập mục tiêu ATTT kế hoạch để đạt mục tiêu ˗ Điều khoản - Hỗ trợ: yêu cầu việc tổ chức đào tạo, truyền thông, nâng cao nhận thức cho toàn thể cán bộ, nhân viên tổ chức lĩnh vực ATTT ISMS, số hóa thơng tin ˗ Điều khoản - Vận hành hệ thống: Tổ chức cần có kế hoạch vận hành quản lý để đạt mục tiêu đề Đồng thời cần định đánh giá rủi ro ATTT có kế hoạch xử lý Cấu trúc Tiêu chuẩn ISO 27001: 2013 ˗ Điều khoản - Đánh giá hiệu hệ thống: Quy định trách nhiệm Ban lãnh đạo việc định kỳ xem xét, đánh giá Hệ thống ISMS tổ chức Phần đưa yêu cầu kỳ xem xét hệ thống, đảm bảo đánh giá toàn hoạt động hệ thống, đo lường hiệu biện pháp thực có kế hoạch khắc phục, nâng cấp hệ thống cho phù hợp với thay đổi hoạt động tổ chức ˗ Điều khoản 10 - Cải tiến hệ thống: Giữ vững nguyên tắc Kế hoạch - Thực - Kiểm tra - Hành động (P-D-C-A), tiêu chuẩn đưa yêu cầu đảm bảo Hệ thống ISMS không ngừng cải tiến trình hoạt động Gồm quy định việc áp dụng sách mới, hoạt động khắc phục, phòng ngừa điểm yếu xảy tiềm tàng để 30/08/2020 Cấu trúc Tiêu chuẩn ISO 27001: 2013 ˗ Phụ lục A: Các mục tiêu biện pháp kiểm soát: đưa 14 lĩnh vực kiểm sốt nhằm cụ thể hóa vấn đề mà tổ chức cần xem xét, thực xây dựng trì Hệ thống ISMS Nguyễn Thị Hạnh Triển khai ISMS Việt Nam ˗ ˗ ˗ ˗ Bước 1: Khảo sát lập kế hoạch Bước 2: Xác định phương pháp quản lý rủi ro ATTT Bước 3: Xây dựng hệ thống đảm bảo ATTT đơn vị Bước 4: Triển khai áp dụng: biện pháp lựa chọn, đáp ứng sách, quy định, quy trình xây dựng yêu cầu tiêu chuẩn ISO 27001 ˗ Bước 5: Đánh giá nội bộ: khắc phục điểm không phù hợp với quy định tổ chức yêu cầu tiêu chuẩn Sau thực xong bước 5, tổ chức mời đơn vị độc lập để đánh giá cấp Chứng nhận phù hợp với tiêu chuẩn ISO 2701:2013 cho Hệ thống quản lý ATTT xây dựng 30/08/2020 DN nhận CC ATTT theo tiêu chuẩn ISO/IEC 27001:2013 ˗ ˗ ˗ ˗ ˗ ˗ ˗ ˗ Công ty Cổ phần Dịch vụ Công nghệ Tin học HPT – 12/05/2014 Ngân hàng VIETCOMBANK - 12/12/2014 (NH đầu tiên) Tập đoàn Bảo Việt – 23/1/2016 Trung tâm Internet Việt Nam (VNNIC) - 02/7/2015 Ngân hàng TMCP Sài Gòn - Hà Nội (SHB) - 20/11/2015 Trung tâm liệu VNPT (VNPT Data) – 1/9/2016 Ngân hàng TMCP Quân đội (MB) - 04/2017 Một số lưu ý tiêu chuẩn ISO 27001:2013 ˗ Hệ thống ISMS nhu cầu thiết yếu tổ chức, đảm bảo ATTT cách toàn diện ˗ Xây dựng hệ thống ISMS theo tiêu chuẩn ISO/IEC 27001: 2013 giúp hoạt động đảm bảo ATTT tổ chức quản lý chặt chẽ ˗ Do tiêu chuẩn ISO/IEC 27001:2013 xem xét đảm bảo ATTT nhiều khía cạnh Nên việc xây dựng áp dụng hệ thống địi hỏi phải có tâm lãnh đạo tổ chức Và phối hợp đồng phận tổ chức việc xây dựng trì hệ thống Nguyễn Thị Hạnh 10 30/08/2020 Một số lưu ý tiêu chuẩn ISO 27001:2013 ˗ Những vấn đề khó khăn, cần lưu ý tổ chức bắt tay vào xây dựng hệ thống ISMS là:  Nhận thức người dùng tổ chức việc đảm bảo ATTT Đánh giá lợi ích mang lại áp dụng hệ thống ISMS chưa cao  Trách nhiệm xây dựng, trì hệ thống phân cơng khơng phù hợp Đơn vị giao không nhận phối hợp, cộng tác đơn vị khác tổ chức  Việc xây dựng nâng cấp hệ thống cần quan tâm lãnh đạo đầu tư nguồn lực thích đáng Nguyễn Thị Hạnh 11 ... ISO/IEC 27001:20 13 đem lại tin tưởng bên liên quan đối tác, khách hàng, tổ chức ˗ Doanh nhiệp cấp Chứng An tồn bảo mật thơng tin ISO 27001:20 13 30/08/2020 Tiêu chuẩn ISO/IEC 27001:20 13 ˗ Tiêu chuẩn... chuẩn ban hành lần tiêu chuẩn ISO/IEC 27001:2005, đến năm 20 13 ban hành tiêu chuẩn lần ISO/IEC 27001:20 13 Tiêu chuẩn ISO/IEC 27001:20 13 ˗ Đối tượng áp dụng: cho nhiều loại hình tổ chức (thương... tuân thủ làm việc với tổ chức Cấu trúc Tiêu chuẩn ISO 27001: 20 13 ˗ Nguyễn Thị Hạnh 30 /08/2020 Cấu trúc Tiêu chuẩn ISO 27001: 20 13 ˗ Gồm có 07 điều khoản (từ phần đến phần 10 Tiêu chuẩn) ˗ Các

Ngày đăng: 16/11/2022, 19:53

TÀI LIỆU CÙNG NGƯỜI DÙNG

TÀI LIỆU LIÊN QUAN