ANTT góc độ quản lý hệ thống phù hợp tiêu chuẩn ISO/IEC 27001:2005 Yêu cầu tiêu chuẩn ISO/IEC27001:2005 Thiết lập, áp dụng, trì cải tiến HTQL ANTT Giấy chứng nhận toàn cầu ISO/IEC 27001:2005 Những vấn đề cần quan tâm xây dựng ISMS D.A.S Vietnam Certification Ltd Quá trình hình thành yêu cầu tiêu chuẩn ISO/IEC 27001:2005 2005 2002 2003 1995 BS 7799 - 2000 2000 BS 7799 - ISO 17799: 2000 1999 BS 7799 - 2 D.A.S Vietnam Certification Ltd Bộ tiêu chuẩn ISO/IEC 27000 ISO/IEC 27001:2005 ISO/IEC 27000:2009 Các yêu cầu ISO/IEC 27002:2005 Mã Thực hành ISMS Các nguyên tắc từ vựng ISO/IEC 27006:2007 Bộ tiêu chuẩn ISO/IEC 27000 Dành cho TC đánh giá chứng nhận Hướng dẫn áp dụng ISMS ISO/IEC 27005:2007 Quản lý rủi ro ISMS ISO/IEC 27003:2010 ISO/IEC 27004:2007 Đo lường ISMS D.A.S Vietnam Certification Ltd ISO/IEC 27001:2005 – CÁC YÊU CẦU (theo cấu trúc tiêu chuẩn) Hệ thống quản lý an ninh thông tin 4.1 Yêu cầu chung Trách nhiệm lãnh đạo 5.1 Cam kết lãnh đạo 5.2 Quản lý nguồn lực 4.2 Thiết lập quản lý ISMS Đánh giá nội ISMS Xem xét lãnh đạo ISMS Cải tiến ISMS 7.1 Khái quát 8.1 Cải tiến thường xuyên 7.2 Đầu vào xem xét 8.2 Hành động khắc phục 7.3 Đầu xem xét 8.3 Hành động phòng ngừa 4.3 Các yêu cầu tài liệu D.A.S Vietnam Certification Ltd 11 mục tiêu kiểm sốt kiểm sốt Chính sách an ninh Tuân thủ 11 Quản lý tính liên tục kinh doanh 10 10 Quản lý cố an ninh thông tin An ninh thông tin tổ chức Quản lý tài sản ISMS Kiểm soát An ninh nguồn nhân lực An ninh vật lý mơi Duy trì phát triển hệ thống trường C E Kiểm soát truy cập Quản lý tác nghiệp truyền thơng D.A.S Vietnam Certification Ltd Mơ hình PDCA áp dụng để kiến trúc nên mọi trình ISMS PLAN Các bên quan tâm Thiết lập ISMS DO Các yêu cầu mong đợi ISMS Các bên quan tâm Duy trì cải tiến ISMS Áp dụng vận hành ISMS Giám sát xem xét ISMS ACT An ninh thông tin quản lý CHECK D.A.S Vietnam Certification Ltd QUẢN LÝ RỦI RO – vấn đề trọng tâm tiếp cận ISMS Đảm bảo tính kinh doanh liên tục tuân thủ chế định pháp định Mục tiêu kiểm soát rủi ro – Phương pháp đánh giá rủi ro Nhận biết mức độ bảo mật, giá trị tất tài sản Rủi ro sở hữu tài sản Những điểm yếu Thông tin Phần mềm Con người Kiếm soát xử lý rủi ro Tài sản Hình ảnh uy tín Vật lý Các mối đe dọa Các h.động sản xuất Dịch vụ Đối tác Khách hàng Thầu phụ Các hành động cải tiến giảm rủi ro Mất độ tin cậy, tính tồn vẹn, tính sẵn sàng Tiêu chí chấp nhận rủi ro Đo lường, đánh giá tính hiệu lực phương pháp kiểm sốt Nhận biết rủi ro cịn sót lại D.A.S Vietnam Certification Ltd AN NINH THÔNG TIN Đo lường mức độ rủi ro Tài sản thông tin (dữ liệu thông tin dạng cứng, mềm, giao tiếp… ) PLAN Tổ chức Xây dựng mục tiêu kiểm soát an ninh TT Tổ chức Khách hàng • Mức độ bảo mật giá trị tài sản thông tin nhằm giảm rủi ro phạm vi áp dụng SOA Khách hàng Nhà cung cấp ACT DO Thực biện pháp kiểm soát an ninh TT Các bên quan tâm • Xác định mức độ đe dọa/ rủi ro tới tài sản (rất cao, cao, trung bình, thấp ) • Điểm yếu dễ bị cơng • Thực kiểm soát an ninh liệu, kiểm soát rủi ro theo mục tiêu kế hoạch xử lý rủi ro đặt Các yêu cầu mong đợi ISMS Thơng tin Sẵn sàng Duy trì cải tiến an ninh thơng tin • Các sách cải tiến để giảm thiểu rủi ro • Mục tiêu an ninh •Hệ thống tài liệu (thủ tục, quy đinh ), hồ sơ • Hạ tầng kỹ thuật (camera quan sát, server, cáp, máy móc… ) • Con người CHECK Giám sát xem xét kiểm soát an ninh thơng tin • Báo cáo đánh giá rủi ro •Đánh giá đo lường biện pháp kiểm soát rủi ro • Nhận biết chấp nhận rủi ro cịn sót lại Nhà cung cấp Các bên quan tâm An ninh thông tin quản lý D.A.S Vietnam Certification Ltd AN NINH THƠNG TIN Kiểm sốt rủi ro cách thức xử lý rủi ro tài sản thơng tin Nhận biết Kiểm sốt tài sản liệu mềm Quản lý hoạt động truyền thơng Nhận biết kiếm sốt tài sản liệu mềm Kiểm soát biên liên quan đến liệu Dữ liệu: Kiểm sốt mơi trường vật lý lưu trữ liệu Dữ liệu Bản mềm Sẵn sàng - q trình xử lý Ỵphân quyền truy cập, quyền thiết lập, xem, phê duyệt… - q trình trao đổi Ỵ áp dụng phương pháp mã hóa liệu cơng bố thừa nhận - lưu trữ Ỵ định kỳ backup, kiểm sốt tính tồn vẹn, bảo mật sẵn sàng -5 Kiểm soát rủi ro liên quan đến người Kiểm soát rủi ro liên quan đến phần mềm D.A.S Vietnam Certification Ltd AN NINH THÔNG TIN Kiểm soát rủi ro cách thức xử lý rủi ro tài sản thông tin Nhận biết Kiểm soát tài sản liệu mềm Quản lý hoạt động truyền thơng Kiểm sốt bên liên quan đến liệu Kiểm soát biên liên quan đến liệu Kiểm sốt mơi trường vật lý lưu trữ liệu Dữ liệu Bản mềm Sẵn sàng - Tổ chức Ỵ kiểm sốt theo mục tiêu kiểm soát Tổ chức đặt ra… - Nhà cung cấp (dịch vụ đường truyền, host….) Ỵ quy định kiểm soát việc thực cam kết bảo mật theo yêu cầu Tổ chức… - Khách hàng Ỵ thống hình thức bảo mật liệu (các quy định bảo mật trình giao dịch, việc mã hóa liệu…) -5 Kiểm sốt rủi ro liên quan đến người 10 Kiểm soát rủi ro liên quan đến phần mềm D.A.S Vietnam Certification Ltd AN NINH THƠNG TIN Kiểm sốt rủi ro cách thức xử lý rủi ro tài sản thơng tin Nhận biết Kiểm sốt tài sản liệu mềm Quản lý hoạt động truyền thơng Kiểm sốt rủi ro đên môi trường vật lý lưu trữ Dữ liệu Bản mềm Sẵn sàng Kiểm soát rủi ro liên quan đến người 11 Kiểm soát rủi ro liên quan đến môi trường vật lý lưu trữ liệu Kiểm soát biên liên quan đến liệu Kiểm soát rủi ro liên quan đến phần mềm - PC, Laptop Ỵtrách nhiệm với tài sản, quyền truy cập, … - Host Ỵ vị trí phịng điều kiện phịng Host, kiểm sốt vào, camera quan sát, login, hồ sơ tình trạng hoạt động, phương án đối phó với tình khẩn cấp (mất điện, hacker…) - Khu vực máy tính Ỵ sơ đồ bố trí khu vực đặt máy, vành đai an ninh bảo vệ -Thiên tai, hỏa hoạn, lũ lụt Ỵ báo cáo quan chức năng, phương án đối phó với tình khẩn cấp - D.A.S Vietnam Certification Ltd AN NINH THƠNG TIN Kiểm sốt rủi ro cách thức xử lý rủi ro tài sản thơng tin Nhận biết Kiểm sốt tài sản liệu mềm Quản lý hoạt động truyền thơng Kiểm sốt rủi ro liên quan đến phần mềm Kiểm soát biên liên quan đến liệu Kiểm sốt mơi trường vật lý lưu trữ liệu Dữ liệu Bản mềm - chương trình phần mềm ứng dụng Ỵ có quyền, - Network Ỵ xây dựng vành đai an ninh (firewall, giới hạn truy cập trang web có rủi ro cao, biện pháp kỹ thuật khác… Sẵn sàng Kiểm soát rủi ro liên quan đến người 12 Kiểm soát rủi ro liên quan đến phần mềm D.A.S Vietnam Certification Ltd AN NINH THÔNG TIN Kiểm soát rủi ro cách thức xử lý rủi ro tài sản thông tin Nhận biết Kiểm soát tài sản liệu mềm Quản lý hoạt động truyền thông Kiểm sốt mơi trường vật lý lưu trữ liệu Dữ liệu Bản mềm Sẵn sàng Kiểm soát rủi ro liên quan đến người 13 Kiểm soát rủi ro liên quan đến người Kiểm soát biên liên quan đến liệu Kiểm soát rủi ro liên quan đến phần mềm Tiếp cận liệu, phần mềm ứng dụng Ỵ phân quyền truy cập, quyền phê duyệt, chỉnh sửa, chép liệu Xác định cá nhân có mức độ rủi ro cao đưa biện pháp kiểm soát - nhận thức bảo mật thơng tin Ỵ đào tạo, giáo dục nhận thức sách bảo mật nguyên tắc bảo mật, nhận biết rủi ro - tuân thủ ngun tắc bảo mật Ỵ hợp đồng cam kết bảo mật thông tin cá nhân (đặc biệt cá nhân có mức độ rủi ro , định kỳ đột xuất kiểm tra việc tuân thủ nguyên tắc bảo mật… -D.A.S Vietnam Certification Ltd AN NINH THÔNG TIN Đo lường mức độ rủi ro cách thức xử lý rủi ro tài sản TT PLAN Tổ chức Xây dựng mục tiêu kiểm soát an ninh TT Tổ chức Khách hàng • Mức độ bảo mật giá trị tài sản thông tin nhằm giảm rủi ro phạm vi áp dụng SOA Khách hàng Nhà cung cấp Các bên quan tâm Các yêu cầu mong đợi ISMS 14 ACT DO Thực biện pháp kiểm sốt an ninh TT • Xác định mức độ đe dọa/ rủi ro tới tài sản (rất cao, cao, trung bình, thấp ) • Điểm yếu dễ bị cơng • Thực kiểm soát an ninh liệu, kiểm soát rủi ro theo mục tiêu kế hoạch xử lý rủi ro đặt Thông tin Sẵn sàng Duy trì cải tiến an ninh thơng tin • Các sách cải tiến để giảm thiểu rủi ro • Mục tiêu an ninh •Hệ thống tài liệu (thủ tục, quy đinh ), hồ sơ • Hạ tầng kỹ thuật (camera quan sát, server, cáp, máy móc… ) • Con người CHECK Giám sát xem xét kiểm soát an ninh thơng tin • Báo cáo đánh giá rủi ro •Đánh giá đo lường cádc biện pháp kiểm sốt rủi ro • Nhận biết chấp nhận rủi ro cịn sót lại Nhà cung cấp Các bên quan tâm An ninh thông tin quản ly D.A.S Vietnam Certification Ltd AN NINH NGUỒN NHÂN LỰC Mục tiêu kiểm soát: nguồn nhân lực nội tổ chức, nhà thầu bên thứ ba nhận thức thực ISMS Trước tuyển dụng Tài sản Tổ chức Trong thời gian làm việc 15 Sẵn sàng Nghỉ việc chuyển vị trí D.A.S Vietnam Certification Ltd AN NINH VẬT LÝ VÀ MƠI TRƯỜNG Kiểm sốt xâm nhập trái phép, làm gián đoạn hoạt động Tổ chức AN NINH VẬT LÝ VÀ MÔI TRƯỜNG An ninh khu vực • Vành đai an tồn vật lý • Kiểm sốt xâm nhập vật lý • An tồn phịng ban, phương tiện, • Phịng chống đe dọa từ môi trường môi trường bên ngồi • An ninh khu vực làm việc • Các khu vực truy cập công cộng… 16 An ninh thiết bị •Vị trí thiết bị bảo vệ • Các phương tiện hỗ trợ • An tồn dây cáp • Bảo dưỡng thiết bị • An tồn thiết bị đặt bên ngồi • An tồn loại bỏ tái sử dụng thiết bị • Di chuyển tài sản D.A.S Vietnam Certification Ltd QUẢN LÝ RỦI RO – vấn đề trọng tâm tiếp cận ISMS Đảm bảo tính kinh doanh liên tục tuân thủ chế định pháp định Mục tiêu kiểm soát rủi ro – Phương pháp đánh giá rủi ro Nhận biết mức độ bảo mật, giá trị tất tài sản Rủi ro sở hữu tài sản Những điểm yếu Thơng tin Phần mềm Con người Kiếm sốt xử lý rủi ro Tài sản Hình ảnh uy tín Vật lý Các mối đe dọa Các h.động sản xuất Dịch vụ Đối tác Khách hàng Thầu phụ Các hành động cải tiến giảm rủi ro Mất độ tin cậy, tính tồn vẹn, tính sẵn sàng Tiêu chí chấp nhận rủi ro Đo lường, đánh giá tính hiệu lực phương pháp kiểm sốt Nhận biết rủi ro cịn sót lại 17 D.A.S Vietnam Certification Ltd Trình tự thiết lập Cam kết xây dựng Hệ thống ISMS Xác định phạm vi, ranh giới ISMS Xây dựng sách ISMS Xác định tài sản giá trị tài sản Xác định yêu cầu luật định, chế định yêu cầu khách hàng Nhận biết rủi ro, phân tích – lượng hóa rủi ro, đánh giá rủi ro lựa chọn phương án xử lý rủi ro Xác định mục tiêu kiểm soát phương pháp kiểm soát HTQL ANTT phù hợp yêu cầu tiêu chuẩn ISO/IEC27001:2005 Thiết lập hệ thống tài liệu theo yêu cầu ISO/IEC 27001:2005 Công bố áp dụng – SOA 10 Thực hiện, vận hành, giám sát, xem xét, trì cải tiến an ninh thông tin 18 D.A.S Vietnam Certification Ltd Giấy chứng nhận ISO/IEC 27001:2005 giá trị toàn cầu 19 D.A.S Vietnam Certification Ltd Những vấn đề cần quan tâm xây dựng HTQLANTT CSO/ ISMR Con người CSO/ ISMR Lãnh đạo cao nhận thức yêu cầu ISO/IEC 27001:2005 Nhân Tổ chức bên liên quan phải nhận thức tuân thủ Thiết bị đồng Lưu trữ tài sản thông tin: Lưu giữ cứng (phịng, tủ, khóa ) Lưu trữ mềm: Server, hệ thống backup liệu nội bộ, từ xa, ổ liệu, máy hủy tài liệu… Truy cập, xử lý truyền tải thơng tin: phần mềm ứng dụng có quyền, thiết kế xây dựng, áp dụng hệ thống an ninh mạng, đường cáp chống nhiễu… Thiết bị kiểm soát xâm nhập vật lý: Hệ thống camera quan sát, kiểm soát thẻ từ, vân tay, UPS, máy phát điện, hệ thống phòng chống cháy nổ… Các thiết bị theo yêu cầu ngành, khách hàng luật pháp Hệ thống tài liệu, hồ sơ Các quy định, thủ tục/ quy trình, hướng dẫn…và hồ sơ đáp ứng yêu cầu Tổ chức, bên quan tâm, luật pháp tiêu chuẩn ISO/IEC27001:2005 20 D.A.S Vietnam Certification Ltd Tổ chức chứng nhận DAS – UK Xin trân trọng cảm ơn CÔNG TY CHỨNG NHẬN DAS VIỆT NAM Tầng 6: Tòa nhà 34JSC 164 Khuất Duy Tiến, Thanh Xuân, Hà Nội Điện thoại: 04-37763177 – 04.35539135 Email: iso27000@dasvietnam.com dasinfo@dasvietnam.com Website:http://www.dasvietnam.com 21 D.A.S Vietnam Certification Ltd  ... liên tục kinh doanh 10 10 Quản lý cố an ninh thông tin An ninh thông tin tổ chức Quản lý tài sản ISMS Kiểm soát An ninh nguồn nhân lực An ninh vật lý mơi Duy trì phát triển hệ thống trường C E... YÊU CẦU (theo cấu trúc tiêu chuẩn) Hệ thống quản lý an ninh thông tin 4.1 Yêu cầu chung Trách nhiệm lãnh đạo 5.1 Cam kết lãnh đạo 5.2 Quản lý nguồn lực 4.2 Thiết lập quản lý ISMS Đánh giá nội ISMS... bên quan tâm An ninh thông tin quản lý D.A.S Vietnam Certification Ltd AN NINH THƠNG TIN Kiểm sốt rủi ro cách thức xử lý rủi ro tài sản thông tin Nhận biết Kiểm soát tài sản liệu mềm Quản lý hoạt