NETWORK SECURITY Policies for INFORMATION SAFETY MAI Xuân Phú xuanphu150@gmail.com 1 ISO 17799-2005 2 An toàn thông tin  Thông tin là gì?  An toàn thông tin là gì?  Tại sao an toàn thông tin lại quan trọng? 3 Làm th nào l p các yêu c u ATTTế ậ ầ  Định giá các rủi ro về an toàn (Assessing security risks)  Chọn lựa quy tắc (Selec!ng controls)  Set of principles, objec!ves and business requirements for informa!on processing 4 Xu t phát i m c a ATTTấ đ ể ủ  Đối với tổ chức: o bảo vệ dữ liệu và tính riêng tư của các thông tin cá nhân o an toàn các hồ sơ của tổ chức o quyền sở hữu tài sản trí tuệ  Các nguyên tắc chung cho ATTT: o tài liệu về chính sách an toàn thông tin o đưa ra các trách nhiệm về vấn đề an toàn thông tin o đào tạo và giáo dục về an toàn thông tin o báo cáo các vấn đề về an toàn thông tin o quản lý tính liên tục trong kinh doanh 5 Các y u t quy t nh s thành côngế ố ế đị ự  Chính sách an toàn, các mục tiêu và hành động phản ánh mục đích của doanh nghiệp  Cách tiếp cận nhằm triển khai sự an toàn là phù hợp với văn hóa của tổ chức  Các sự hỗ trợ tâm huyết từ các nhà quản lý  Sự hiểu biết tốt về các yêu cầu an toàn thông tin, đánh giá rủi ro và quản lý rủi ro 6 Các y u t quy t nh s thành côngế ố ế đị ự  Phổ biến vấn đề an toàn thông tin  Đưa ra các hướng dẫn về chính sách an toàn thông tin và các chuẩn  Có sự đào tạo và giáo dục thích hợp  Các hệ thống đánh giá sự thực hiện trong vấn đề quản lý an toàn thông tin phải có tính ổn định, tính toàn diện 7 Làm th nào qu n lý ATTT?ế để ả  ISO 27001 đưa ra các yêu cầu cho việc xây dựng, áp dụng, điều hành, kiểm tra, giám sát và phát triển hệ thống an ninh thông tin một cách tòan diện và khoa học.  ISO/IEC 17799 nêu cụ thể số lượng kiểm soát an ninh đơn lẻ, được lựa chọn và áp dụng như một phần của hệ thống an ninh thông tin. 8 ISO 27000  ISO/IEC 27000 — Information security management systems — Overview and vocabulary  ISO/IEC 27001 — Information security management systems — Requirements  ISO/IEC 27002 — Code of practice for information security management  ISO/IEC 27003 — Information security management system implementation guidance  ISO/IEC 27004 — Information security management — Measurement 9 ISO 27000  ISO/IEC 27005 — Information security risk management  ISO/IEC 27006 — Requirements for bodies providing audit and certification of info rmation security management systems  ISO/IEC 27011 — Information security management guidelines for telecommunicati ons organizations based on ISO/IEC 27002  ISO/IEC 27031 — Guidelines for information and communications technology readines s for business continuity  ISO/IEC 27033-1 — Network security overview and concepts  ISO 27799 — Information security management in health using ISO/IEC 27002 10 [...]...ISO 17799 Outline  Guidelines and general principles for initiating, implementing, maintaining, and improving information security management in an organization  Xây dựng vào năm 1996 bởi Bộ Công Thương Anh  Đã có nhiều version và hiện tại đã đổi tên thành ISO 27002 năm 2007  Bao... số lượng và những mục tiêu liên quan đến tổ chức  Ước tính mức độ rủi ro  So sánh giá trị ước tính và giá trị tiêu chuẩn  Thực hiện đánh giá định kỳ  ISO/IEC TR 1333 5-3 (Guidelines for the Management of IT Security: Techniques for the Management of IT Security) 14 Tài liệu chính sách bảo mật  Hướng dẫn quản lý và hỗ trợ cho bảo mật thông tin cho phù hợp o o Những yêu cầu của doanh nghiệp o o o... 3: Cấu trúc của bộ tiêu chuẩn  Chương 4: Đánh giá rủi ro  Chương 5: Tài liệu chính sách bảo mật  Chương 6: Thiết lập bảo mật thông tin  Chương 7: Quản lý tài sản 12 ISO 17799 Structure (2)  Chương 8: An toàn tài nguyên nhân lực  Chương 9: An toàn vật lý và môi trường  Chương 10: Quản lý mạng truyền thông và vận hành  Chương 11: Điều khiển truy cập  Chương 12: Điều hành và phát triển hệ thống... giáo dục về an toàn thông tin Nêu rõ trách nhiệm quản lý  Kết thúc hay thay đổi công việc phải kết thúc những trách nhiệm đang làm o gỡ bỏ quyền hạn và lặp lại như bước 1 nếu thay đổi sang vị trí khác 18 An toàn vật lý và môi trư ng ờ  Bảo vệ vùng vật lý  Bảo vệ thiết bị 19 Điều khiển truy cập  Quản lý việc truy cập của người dùng  Trách nhiệm của người dùng  Điều khiển truy cập mạng  Điều khiển . practice for information security management  ISO/IEC 27003 — Information security management system implementation guidance  ISO/IEC 27004 — Information. 27011 — Information security management guidelines for telecommunicati ons organizations based on ISO/IEC 27002  ISO/IEC 27031 — Guidelines for information