Quản lý an toàn thông tin theo tiêu chuẩn ISO/IEC 27001: Phần 2 tài liệu, giáo án, bài giảng , luận văn, luận án, đồ án,...
Phần HƯỚNG DẪN TRIỂN KHAI ISO/IEC 27001:2013 TẠI DOANH NGHIỆP Chƣơng TĨM TẮT Q TRÌNH TRIỂN KHAI ISO/IEC 27001:2013 TẠI DOANH NGHIỆP Các giai đoạn triển khai ISO/IEC 27001:2013 Dựa theo lộ trình tổng thể đƣợc mơ tả Hình 1-4, tổ chức, doanh nghiệp cần xây dựng Kế hoạch tổng thể triển khai hệ thống quản lý ATTT theo ISO/IEC 27001:2013, vạch giai đoạn thực dự án, bao gồm: Chuẩn bị Xây dựng hệ thống Thực hệ thống Đánh giá nội bộ, xem xét lãnh đạo cải tiến Đánh giá chứng nhận Kế hoạch tổng thể phải làm rõ hoạt động, nội dung thực cụ thể giai đoạn dự án, xác định trách nhiệm thực hiện, đầu kết dự kiến giai đoạn khung thời gian thực để có sở quản lý việc triển khai kế hoạch Tùy thuộc vào quy mô tổ chức, lĩnh vực phạm vi hoạt động, mức độ phức tạp trình tổ chức xét khía cạnh ATTT, sẵn có nguồn lực phục vụ cho giai đoạn triển khai số yếu tố khác mà thời gian để hoàn thành giai đoạn nêu khác 110 Bên cạnh đó, tùy theo sẵn có điều kiện nguồn lực, đặc biệt nguồn nhân lực có kinh nghiệm tổ chức triển khai xây dựng, thực hệ thống quản lý theo tiêu chuẩn (ví dụ nhƣ ISO 9001:2015), nắm có khả vận dụng yêu cầu tiêu chuẩn ISO/IEC 27001:2013 cho bối cảnh ATTT doanh nghiệp, có kinh nghiệm quản lý rủi ro nói chung theo hƣớng dẫn quản lý rủi ro tiêu chuẩn ISO 31000 để vận dụng cho quản lý rủi ro ATTT loại tài sản thơng tin mình… mà tổ chức, doanh nghiệp lựa chọn phƣơng án tự tổ chức thiết lập, thực hiện, đánh giá, cải tiến hệ thống quản lý ATTT theo ISO/IEC 27001:2013 sử dụng nguồn lực từ bên ngồi (ví dụ dịch vụ đào tạo, tƣ vấn) phần toàn hoạt động cần thiết để triển khai dự án ISO/IEC 27001 Kế hoạch tổng thể triển khai ISO/IEC 27001:2013 Bảng 2-1 trình bày nội dung Kế hoạch tổng thể triển khai xây dựng, áp dụng hệ thống quản lý ATTT theo ISO/IEC 27001:2013 theo giai đoạn triển khai nêu trƣờng hợp tổ chức, doanh nghiệp có sử dụng dịch vụ tƣ vấn, hƣớng dẫn từ bên cho toàn giai đoạn dự án Khi doanh nghiệp chọn phƣơng án tự thực với nguồn nhân lực nội cần phải triển khai đầy đủ hoạt động, nội dung cơng việc nhƣ có tƣ vấn, hƣớng dẫn chuyên gia bên 111 112 Kết quả/Đầu dự kiến Đào tạo nhận thức Tƣ vấn Nhận thức yêu cầu đảm bảo ATTT chung ISMS theo + Doanh yêu cầu ISO/IEC 27001 cho nhóm 1.3 ký Doanh Quyết định thành lập Tổ Thƣ ký ISO/IEC nghiệp 27001 Lập Tổ Thƣ ISO/IEC 27001 1.2 Thời gian (tháng thứ)1 Thời gian 08 tháng Kế hoạch để tham khảo áp dụng cho trƣờng hợp tổ chức/doanh nghiệp có sử dụng dịch vụ tƣ vấn từ bên Thời gian thực tế để hoàn thành 05 giai đoạn thực ISMS phụ thuộc vào quy mơ, loại hình doanh nghiệp, mức độ phức tạp trình kinh doanh, cam kết lãnh đạo doanh nghiệp sẵn có nguồn lực xây dựng, áp dụng hệ thống quản lý CHUẨN BỊ Nội dung công việc Lập Ban điều hành Quyết định thành lập Ban điều hành Doanh 1.1 triển khai ISMS theo ISO/IEC 27001 nghiệp ISO/IEC 27001 TT Trách nhiệm Bảng 2-1 KẾ HOẠCH TỔNG THỂ TRIỂN KHAI DỰ ÁN XÂY DỰNG, ÁP DỤNG HỆ THỐNG QUẢN LÝ AN TỒN THƠNG TIN (ISMS) THEO ISO/IEC 27001:2013 TẠI DOANH NGHIỆP 113 Kết quả/Đầu dự kiến ISO/IEC 27001:2013 nghiệp dự án (Ban ISO/IEC 27001, Tổ Thƣ ký (Khóa 1) ISO/IEC 27001, CBCV chủ chốt tất đơn vị thuộc phạm vi triển khai thành phần bắt buộc tham dự) Nội dung công việc Thống nhất, phê duyệt Các kế hoạch đƣợc thống nhất/xác nhận kế hoạch tổng thể Tƣ vấn 1.6 triển khai ISMS dự + Doanh kiến kế hoạch xây nghiệp dựng văn Xác định phạm vi Doanh Phạm vi áp dụng đƣợc xác định rõ để sau (ISMS scope) nghiệp cơng bố thức Công bố 1.5 ISMS + Tƣ áp dụng (SoA) vấn Đánh giá thực trạng Xác định thực trạng đáp ứng yêu cầu Tƣ vấn quản lý ATTT tiêu chuẩn; dự kiến phạm vi áp dụng hệ 1.4 + Doanh doanh nghiệp thống thông tin để lập Kế hoạch chung nghiệp kế hoạch văn TT Trách nhiệm Thời gian (tháng thứ)1 114 XÂY DỰNG HỆ THỐNG ISMS Nội dung công việc Kết quả/Đầu dự kiến Xác định thông Tƣ vấn - Các yêu cầu tổ chức C-I-A 2.3 tin, yêu cầu hỗ trợ cho + Doanh tài sản thông tin ISMS nghiệp - Các yêu cầu tổ chức nhằm xác định yêu cầu pháp luật, hợp đồng ATTT - Danh mục trình/chức chính; địa điểm; hệ thống thơng tin; mạng truyền thông Đào tạo phƣơng pháp Hiểu thực hành đƣợc việc đánh giá rủi Tƣ vấn đánh giá rủi ro ATTT ro tài sản thông tin thuộc phạm 2.2 + Doanh (Khóa 3) vi triển khai ISMS Thành phần cần tham nghiệp dự: nhƣ Khóa Đào tạo phƣơng pháp Tƣ vấn Hiểu thực hành đƣợc phƣơng pháp soạn 2.1 xây dựng văn theo + Doanh thảo văn theo yêu cầu ISO/IEC ISO/IEC 27001 (Khóa 2) nghiệp 27001 Thành phần cần tham dự: nhƣ Khóa TT Trách nhiệm Thời gian (tháng thứ)1 115 Nội dung công việc Nhận biết tài sản 2.5 thông tin thuộc phạm vi hệ thống ISMS Thiết lập Chính sách 2.4 ATTT, Mục tiêu ATTT TT Kết quả/Đầu dự kiến Doanh - Các trình trọng yếu /phân loại tài sản nghiệp thông tin; + Tƣ - Tình trạng kiểm sốt ATTT vấn biện pháp kiểm sốt có; đánh giá mức độ hiệu xác định biện pháp kiểm soát bổ sung - Danh mục xác định tài sản thơng tin q trình chính; - Mơ tả q trình tổ chức; - Chính sách ATTT văn bản, thể cam kết lãnh đạo cao định Doanh hƣớng cho hoạt động, trình nghiệp hệ thống Mục tiêu đƣợc công bố dạng + Tƣ văn bản, thể mức độ thực vấn cam kết sách đo lƣờng đƣợc Trách nhiệm Thời gian (tháng thứ)1 116 Xây dựng, ban hành Nội dung công việc Tƣ vấn Tài liệu quy định cách thức đánh giá rủi ro Kết quả/Đầu dự kiến 2.9 có tài sản (C/I/A) vấn chấp nhận (Kết đánh giá rủi ro ATTT) + Tƣ vấn nghiệp biện pháp kiểm sốt để giảm tới mức Doanh Xác định đƣợc rủi ro quan trọng cần có tính bảo mật, tính tồn vẹn tính sẵn + Tƣ nghiệp yếu tài sản Xác định đƣợc mức độ Doanh Xác định đƣợc mối đe dọa điểm nghiệp đánh giá rủi ro + Tƣ vấn kiểm soát rủi ro Kế hoạch xử lý rủi ro - RTP) Kế hoạch xử lý rủi ro (Risk Treatment Plan nghiệp Of Applicability - SoA) kiểm soát, Biện pháp Xác định Mục tiêu Doanh Bản "Thông báo việc áp dụng" (Statement sản 2.8 ATTT tài Đánh giá trị rủi ro sản 2.7 ATTT tài Nhận biết rủi ro rủi ro ATTT 2.6 Phƣơng pháp đánh giá + Doanh ATTT cần thiết để làm cho bƣớc TT Trách nhiệm Thời gian (tháng thứ)1 117 Nội dung công việc Các thủ tục văn theo yêu cầu tiêu Doanh chuẩn (kiểm soát tài liệu; kiểm soát hồ sơ; nghiệp đánh giá nội bộ; hành động khắc phục; + Tƣ hành động phịng ngừa); ngồi ra, vấn lập quy trình cho hoạt động xem xét lãnh đạo ISMS Kết quả/Đầu dự kiến Thiết lập Chính sách ATTT cụ thể /hoặc Thủ 2.12 tục/Hƣớng dẫn kiểm soát rủi ro ATTT cụ thể Các tài liệu sách, thủ tục ATTT cụ Doanh thể cần thiết tƣơng thích với kết đánh nghiệp giá rủi ro; tài liệu quy định đo lƣờng hiệu + Tƣ lực biện pháp kiểm sốt vấn Thiết lập/tích hợp, ban Văn (cơ cấu tổ chức, vai trò, trách Doanh hành văn xác nhiệm-quyền hạn liên quan ATTT) nghiệp 2.11 định vai trị, trách + Tƣ Tích hợp vào hệ thống Mô tả công nhiệm, quyền hạn việc vấn ATTT Thiết lập/tích hợp (vào thủ tục 2.10 có), ban hành thủ tục dạng văn để kiểm soát ISMS TT Trách nhiệm Thời gian (tháng thứ)1 118 Kết quả/Đầu dự kiến Đào tạo nhận thức Doanh CBNV có trách nhiệm thực biện an tồn thơng tin nghiệp pháp kiểm sốt an tồn thông tin hiểu đƣợc hệ thống quản lý (Ban rủi ro an toàn trách nhiêm, cách 3.3 ATTT cho CBNV ISO/Th thức họ đóng góp vào việc đảm bảo hiệu doanh nghiệp ƣ ký lực biện pháp kiểm soát xác định ISO) hệ thống Phân phối hệ thống HTVB đƣợc phân phối tới phòng/bộ văn đến Doanh phận 3.2 phịng/bộ phận có liên nghiệp quan CBNV thuộc phạm vi ISMS hiểu đƣợc Doanh ISMS doanh nghiệp nhận nghiệp thức đƣợc trách nhiệm tuân thủ theo + Tƣ quy định văn hệ thống vấn TRIỂN KHAI ÁP DỤNG HỆ THỐNG Nội dung công việc Hƣớng dẫn áp dụng hệ thống văn (chính sách, mục tiêu, 3.1 thủ tục, biện pháp kiểm soát, kế hoạch xử lý rủi ro…) TT Trách nhiệm Thời gian (tháng thứ)1 119 Nội dung công việc ĐÁNH GIÁ NỘI BỘ & XEM XÉT, CẢI TIẾN HỆ THỐNG ISMS Doanh HTVB ISMS đƣợc phổ biến áp nghiệp dụng + Tƣ vấn Kết quả/Đầu dự kiến Tài liệu đào tạo, danh sách tham dự, chứng (Ban ISO/IEC 27001, Tổ Thƣ ký ISMS, CBCV chủ chốt đơn vị thành phần bắt buộc tham dự) Lập kế hoạch đánh Doanh Kế hoạch, chƣơng trình đánh giá báo giá nội nghiệp cáo đánh giá 4.3 + Tƣ vấn Đào tạo Phƣơng pháp Tƣ vấn đánh giá nội hệ + Doanh 4.2 thống quản lý ATTT nghiệp (Khóa 3) Thực giám sát, Doanh Hồ sơ kết đo lƣờng kết thực đo lƣờng hiệu lực nghiệp đo lƣờng hiệu lực hệ thống ISMS 4.1 hệ thống ISMS + Tƣ hiệu lực biện vấn pháp kiểm soát Hƣớng dẫn kiểm tra áp dụng 3.4 phòng/đơn vị hệ thống ISMS TT Trách nhiệm Thời gian (tháng thứ)1 170 c) Quyền truy cập phải đƣợc loại bỏ nhân viên kết thúc làm việc theo bắt buộc, cho cá nhân đƣợc phép hệ thống có thơng tin nhạy cảm hay có u cầu bảo mật, cá nhân vị trí có quyền “siêu truy cập” (chẳng hạn nhƣ quản trị viên bảo mật) Tất truy cập khác cần đƣợc loại bỏ vòng 05 ngày làm việc Tồn q trình đƣợc tính từ ngày nhân viên đƣợc thông báo việc chấm dứt b) Quyền truy cập vào hệ thống thông tin liệu công ty phải đƣợc chấm dứt đồng thời khơng cịn u cầu truy cập (ví dụ nhƣ kết chuyển giao, chấm dứt, thay đổi nhiệm vụ) a) Quyền truy cập tất nhân viên, nhà thầu/nhà cung cấp vào phƣơng tiện xử lý thông tin thông tin phải đƣợc loại bỏ chấm dứt việc làm, hợp đồng thoả thuận, điều chỉnh thay đổi 3.4 Hủy bỏ quyền truy cập (theo mục A.9.2.6, Phụ lục A, tiêu chuẩn ISO/IEC 27001:2013) d) Trong trƣờng hợp nhân viên, nhà thầu ngƣời sử dụng bên thứ ba có nắm thơng tin có ý nghĩa quan trọng hoạt động sản xuất - kinh doanh liên tục cơng ty, thơng tin đƣợc ghi lại chuyển giao cho công ty trƣớc chấm dứt thay đổi việc làm c) Trong trƣờng hợp nhân viên, nhà thầu nhà cung cấp mua thiết bị công ty sử dụng thiết bị cá nhân mình, thủ tục đƣợc lập thực để đảm bảo tất thông tin liên quan đƣợc chuyển giao lại cho cơng ty đƣợc xóa an tồn khỏi thiết bị 171 Bất kể việc chấm dứt thay đổi đƣợc phát sinh từ nhân viên, nhà thầu nhà cung cấp, lãnh đạo công ty lý để chấm dứt; h) Quyền truy cập tài sản thông tin phƣơng tiện xử lý thông tin phải đƣợc giảm bớt loại bỏ trƣớc chấm dứt thay đổi công việc, tùy thuộc vào việc đánh giá yếu tố rủi ro sau: g) Mật khẩu, kết hợp khóa, biện pháp kiểm soát tƣơng tự phải đƣợc thay đổi chấm dứt nhân viên, nhà thầu, nhà cung cấp f) BP IT chịu trách nhiệm thƣờng xuyên xem xét quyền truy cập ngƣời sử dụng theo tần suất năm lần báo cáo cho TP Công nghệ để tham mƣu cho ISMS-MR có định thích hợp việc phân quyền truy cập e) Việc loại bỏ quyền truy cập phải bao gồm truy cập vật lý logic, chìa khóa, thẻ nhận dạng, phƣơng tiện xử lý thông tin, đăng ký, loại bỏ từ tài liệu có nhận dạng nhân viên nhƣ thành viên tổ chức d) Bộ phận IT ghi lại việc tạm thời vơ hiệu hóa quyền truy cập vật lý hệ thống mạng công ty nhân viên khoảng thời gian kéo dài 30 ngày vấn đề cá nhân (ví dụ ốm đau kéo dài) mục đích đƣợc phép khác Vơ hiệu hóa quyền truy cập vật lý hệ thống mạng áp dụng trƣờng hợp đình cơng tác mục đích kỷ luật Các trƣờng hợp ngoại lệ đƣợc cho phép có yêu cầu có chấp thuận lãnh đạo 172 Bản cam kết bảo vệ thông tin Cơ cấu tổ chức, trách nhiệm, quyền hạn hệ thống quản lý ATTT công ty, kèm theo Mô tả công việc công ty; Tài liệu tham chiếu: Giá trị tài sản truy cập Trách nhiệm nhân viên, nhà thầu ngƣời sử dụng khác; 173 (ví dụ minh họa) (xem trang 173, 174) Phụ lục 14: KẾ HOẠCH ĐO LƢỜNG HIỆU LỰC CỦA ISMS THEO ISO/IEC 27001:2013 174 175 Nhằm đánh giá chất lƣợng mật đƣợc ngƣời dùng sử dụng để truy cập vào hệ thống IT cơng ty Tổng số mật đáp ứng sách chất lƣợng mật công ty: a) Tỉ số mật thỏa mãn sách chất lƣợng mật công ty b) Xu hƣớng tuân thủ theo sách chất lƣợng mật Đếm số lƣợng mật sở liệu mật ngƣời dùng Xác định số lƣợng mật đáp ứng sách mật cơng ty Σ [Tổng số mật đáp ứng sách chất lƣợng mật công ty cho ngƣời dùng] a) Tỉ số mật đáp ứng sách chất lƣợng mật công ty b) Xu hƣớng tn thủ sách chất lƣợng mật cơng ty c) Chia [Tổng số mật đáp ứng sách chất lƣợng mật công ty] cho [Số mạt đƣợc đăng ký] d) So sánh tỉ số với tỉ số trƣớc Chỉ số đo Công thức/ điểm số ISMS.ĐL.P.W-01 Nhu cầu thông tin Ký hiệu/ID phép đo Đo lƣờng chất lƣợng mật truy cập vào hệ thống thông tin công ty phƣơng pháp thủ cơng (ví dụ minh họa) Phụ lục 15: HOẠCH ĐỊNH CỤ THỂ ĐO LƢỜNG HIỆU LỰC ISMS 176 Các bên có trách nhiệm Tần suất Bằng chứng thực Mục tiêu Chủ thể thông tin (Information owner): Cán quản trị hệ thống IT/System administrator Ngƣời thu thập thông tin (Information collector): Nhân viên ATTT/Security staff Khách hàng phép đo (Measurement client): Lãnh đạo ISMS-MR & Giám đốc - Thu thập liệu: tùy thuộc vào tính trọng yếu, nhƣng hàng năm - Phân tích: sau lần thu thập - Báo cáo: sau lần phân tích - Xem xét phép đo: hàng năm - Chu kỳ đo: hàng năm Xác định số mật thỏa mãn sách mật cơng ty Đếm số mật có database mật ngƣời dùng - Nếu tỉ số < 0.8: cần có hành động tức - Nếu tỉ số 0.8 0.9: chƣa đạt mục tiêu kiểm soát, nhiên xu hƣớng dƣơng so với tỉ số kỳ trƣớc ghi nhận có cải thiện - Nếu tỉ số 0.9: mục tiêu kiểm soát đƣợc xem đạt khơng cần có hành động 177 Phụ lục A, mục A.9.3.1: Việc sử dụng thông tin xác thực bí mật Biểu đồ dạng đƣờng xu hƣớng mật thỏa mãn sách chất lƣợng mật công ty (kèm theo đƣờng xu hƣớng kỳ đo lƣờng trƣớc đó) Định dạng báo cáo Theo yêu cầu ISO/IEC 27001:2013 Database mật ngƣời dùng; mật cá nhân Nguồn liệu 178 (ví dụ minh họa) Phụ lục 16: LẬP KẾ HOẠCH ĐÁNH GIÁ NỘI BỘ ISMS THEO ISO/IEC 27001:2013 179 180 181 TÀI LIỆU THAM KHẢO - https://www.iso.org/the-iso-survey.html -https://www.iso.org/search.html?q=27000&hPP=10&idx=all_en &p=0&hFR[category][0]=standard - Tiêu chuẩn ISO/IEC 27000:2018 - Công nghệ thông tin - Các kỹ thuật an toàn - Hệ thống quản lý an tồn thơng tin - Khái qt từ vựng - Tiêu chuẩn ISO/IEC 27001:2013 - Công nghệ thơng tin - Các kỹ thuật an tồn - Hệ thống quản lý an tồn thơng tin - Các u cầu - Tiêu chuẩn ISO/IEC 27003:2017 - Công nghệ thông tin - Các kỹ thuật an toàn - Hệ thống quản lý an tồn thơng tin - Hƣớng dẫn - Báo cáo tổng hợp kết thực nhiệm vụ khoa học công nghệ “Nghiên cứu, hƣớng dẫn áp dụng Hệ thống quản lý an tồn thơng tin (ISO/IEC 27001) Chỉ số đánh giá hoạt động (KPIs)” (mã số 03.2/2013-DA2), thuộc Dự án “Thúc đẩy hoạt động suất chất lƣợng”, thuộc Chƣơng trình quốc gia “Nâng cao suất chất lƣợng sản phẩm, hàng hoá doanh nghiệp Việt Nam đến năm 2020” 182 183 NHÀ XUẤT BẢN HÀ NỘI Địa chỉ: Số - Tống Duy Tân, Hoàn Kiếm, Hà Nội ĐT: 024.3825.2916 - Fax: 024.3928.9143 E-mail: nxbhanoi@yahoo.com.vn QUẢN LÝ AN TỒN THƠNG TIN THEO TIÊU CHUẨN ISO/IEC 27001 Nội dung hướng dẫn áp dụng Chịu trách nhiệm xuất bản: Tổng Giám đốc - Tổng biên tập VŨ VĂN VIỆT Biên tập: Phạm Thị Anh Minh Sửa in: Vũ Kim Thanh Trình bày: Vũ Kim Thanh Thiết kế bìa: Đặng Duy Đức Đối tác liên kết: Tổng cục Tiêu chuẩn Đo lường Chất lượng Địa chỉ: Số 8, Hoàng Quốc Việt, Cầu Giấy, Hà Nội In 800 cuốn, khổ 15 x 22 cm, Công ty Cổ phần in Hà Nội Địa chỉ: Lô 6B CN5 cụm công nghiệp Ngọc Hồi, xã Ngọc Hồi, huyện Thanh Trì, thành phố Hà Nội ĐKKHXB số: 3899-2020/CXBIPH/13-248/HN, cấp ngày 25 tháng năm 2020 QĐXB số: 1811/QĐ-HN, cấp ngày 16 tháng 10 năm 2020 In xong nộp lưu chiểu năm 2020 Mã ISBN: 978-604-55-7337-2 184