Đang tải... (xem toàn văn)
An toàn thông tin dưới góc đọ quản lý hệ thống phù hợp tiêu chuẩn ISO/IEC 27001:2005
D.A.S Vietnam Certification Ltd. 1ANTT di góc đ qun lý h thng phù hp tiêu chun ISO/IEC 27001:2005Nhng vn đ cn quan tâm khi xây dng ISMSGiy chng nhn toàn cu ISO/IEC 27001:2005 Thit lp, áp dng, duy trì và ci tin HTQL ANTT Yêu cu tiêu chun ISO/IEC27001:2005 D.A.S Vietnam Certification Ltd. 2Quá trình hình thành yêu c亥u tiêu chu育n19992000ISO/IEC 27001:2005BS 7799 - 2ISO 17799: 2000BS 7799 - 119952003200019992002BS 7799 - 22005 D.A.S Vietnam Certification Ltd. 3ISO/IEC 27000:2009Các nguyên tc và t vngB瓜 tiêu chu育n ISO/IEC 27000ISO/IEC 27001:2005Các yêu c亥uISO/IEC 27004:2007o lng ISMSISO/IEC 27005:2007Qun lý ri ro ISMSB瓜 tiêu chu育n ISO/IEC 27000ISO/IEC 27002:2005Mã Thc hành ISMSISO/IEC 27003:2010Hng dn áp dng ISMSISO/IEC 27006:2007Dành cho các TC đánh giá và chng nhn D.A.S Vietnam Certification Ltd. 4ISO/IEC 27001:2005 – CÁC YÊU CU (theo cu trúc tiêu chun)6 ánh giá ni b ISMS4.1. Yêu cu chung4.2. Thit lp và qun lý ISMS7.1. Khái quát7.2. u vào ca xem xét7.3. u ra ca xem xét5.1. Cam kt ca lãnh đo5.2 Qun lý ngun lc5. Trách nhim ca lãnh đo8. Ci tin ISMS4. H thng qun lý an ninh thông tin7 Xem xét lãnh đo ISMS8.1. Ci tin thng xuyên8.2. Hành đng khc phc8.3. Hành đng phòng nga4.3. Các yêu cu v tài liu D.A.S Vietnam Certification Ltd. 511 m映c tiêu ki吋m soát và các ki吋m soátAn ninh thông tin c栄a t鰻 ch泳cQu違n lý các tác nghi羽p và truy隠n thôngDuy trì và phát tri吋n các h羽 th嘘ngQu違n lý tính liên t映c trong kinh doanhQu違n lý s詠 c嘘 an ninh thông tinChính sách an ninhISMSKi吋m soát135910E7C8264Qu違n lý tài s違nAn ninh ngu欝n nhân l詠cAn ninh v壱t lý và môi tr逢運ngKi吋m soát truy c壱pTuân th栄1011 D.A.S Vietnam Certification Ltd. 6Mô hình PDCA áp dng đ kin trúc nên mi mi quá trình ISMSCác bên quan tâmThit lp ISMSGiám sát vàxem xét ISMSÁp dng và vn hành ISMSDuy trì vàci tin ISMSPLANDOACTAn ninh thông tin đc qun lýCác bên quan tâmCác yêu cu và mong đi v ISMS CHECK D.A.S Vietnam Certification Ltd. Con ngiVt lýCác h.đngsn xutDch vi tácKhách hàngThu phHình nh uy tínPhn mmThông tinTài sn7QUN LÝ RI RO – vn đ trng tâm khi tip cn ISMSm bo tính kinh doanh liên tc và tuân th ch đnh và pháp đnhMc tiêu kim soát ri ro – Phng pháp đánh giá ri roTiêu chí chp nhn ri roRi ro v s hu tài snCác mi đe daNhng đim yuMt đ tin cy, tính toàn vn, tính sn sàngNhn bit các mc đ bo mt, giá tr ca tt c các tài sno lng, đánh giá tính hiu lc ca các phng pháp kim soátNhn bit nhng ri ro còn sót liKim soát x lý ri roCác hành đng ci tin gim ri ro D.A.S Vietnam Certification Ltd. 8AN NINH THÔNG TINo lng mc đ ri ro đi vi Tài sn thông tin(d英 li羽u thông tin d逢噂i d衣ng b違n c泳ng, b違n m隠m, giao ti院p… )PLAN Xây dng các mc tiêu kim soát an ninh TTT chcKhách hàngNhà cung cpCác bên quan tâmCác yêu cu và mong đi v ISMS T chcKhách hàngNhà cung cpCác bên quan tâmAn ninh thông tin đc qun lý ThôngtinSn sàng• Mc đ bo mt giá tr tài sn thông tin nhm gim ri ro trong phm vi áp dng và SOADO Thc hin các bin pháp kim soát an ninh TT CHECK Giám sát và xem xét kim soát an ninh thông tin• Xác đnh mc đ đe da/ ri ro ti tài sn (r医t cao, cao, trung bình, th医p ).• im yu d b tn công • Thc hin kim soát an ninh d liu, kim soát ri ro theo mc tiêu và k hoch x lý ri ro đã đt ra• Báo cáo đánh giá ri ro •ánh giá và đo lng các bin pháp kim soát ri ro• Nhn bit và chp nhn nhng ri ro còn sót li.ACT Duy trì và ci tin an ninh thông tin• Các quyt sách ci tin đ gim thiu ri ro• Mc tiêu an ninh•H thng tài liu (th tc, quy đinh ), h s• H tng k thut (camera quan sát, server, cáp, máy móc… )• Con ngi D.A.S Vietnam Certification Ltd. 9AN NINH THÔNG TINKim soát ri ro và cách thc x lý ri ro đi vi tài sn thông tin2. Kim soát các biên liên quan đn d liu 6. Qun lý hot đng và truyn thông3. Kim soát môi trng vt lý lu tr d liu4. Kim soát ri ro liên quan đn các phn mm5. Kim soát ri ro liên quan đn con ngi1. Nhn bit và Kim soát tài sn d liu bn mmD liuBn mmSn sàngD liuBn mmSn sàngD liuBn mmSn sàngD liuBn mmSn sàng1. Nh壱n bi院t và ki院m soát tài s違n d英 li羽u b違n m隠mD liu:- trong quá trình x lý îphân quyn truy cp, quyn thit lp, xem, phê duyt…- trong quá trình trao đi îáp dng các phng pháp mã hóa d liu đc công b và tha nhn- lu tr îđnh k backup, kim soát tính toàn vn, bo mt và sn sàng---- D.A.S Vietnam Certification Ltd. 10AN NINH THÔNG TINKim soát ri ro và cách thc x lý ri ro đi vi tài sn thông tin2. Kim soát các biên liên quan đn d liu 6. Qun lý hot đng và truyn thông3. Kim soát môi trng vt lý lu tr d liu4. Kim soát ri ro liên quan đn các phn mm5. Kim soát ri ro liên quan đn con ngi1. Nhn bit và Kim soát tài sn d liu bn mmD liuBn mmSn sàngD liuBn mmSn sàngD liuBn mmSn sàngD liuBn mmSn sàng2. Kim soát các bên liên quan đn d liu- T chc î kim soát theo các mc tiêu kim soát T chc đã đt ra…- Nhà cung cp (dch v đng truyn, host….) îquy đnh và kim soát vic thc hin các cam kt bo mt theo yêu cu ca T chc….- Khách hàng îthng nht hình thc bo mt d liu (các quy đnh bo mt trong quá trình giao dch, vic mã hóa d liu…)---- [...]... An ninh các khu v c • Vành ai an toàn v t lý • Ki m soát xâm nh p v t lý • An toàn các phòng ban, ph ng ti n, • Phòng ch ng nh ng e d a t môi tr ng và môi tr ng bên ngoài • An ninh khu v c làm vi c • Các khu v c truy c p công c ng… 16 An ninh thi t b •V trí thi t b và b o v • Các ph ng ti n h tr • An toàn dây cáp • B o d ng thi t b • An toàn các thi t b t bên ngoài • An toàn trong lo i b và tái s d... ch n các ph ng án x lý r i ro 7 Xác nh các m c tiêu ki m soát và ph ng pháp ki m soát HTQL ANTT phù h嬰p yêu c亥u tiêu chu育n ISO/IEC2 7001:2005 8 Thi t l p h th ng tài li u theo yêu c u ISO/IEC 27001:2005 9 Công b áp d ng – SOA 10 Th c hi n, v n hành, giám sát, xem xét, duy trì và c i ti n an ninh thông tin 18 D.A.S Vietnam Certification Ltd Gi医y ch泳ng nh壱n ISO/IEC 27001:2005 giá tr鵜 toàn c亥u 19 D.A.S.. .AN NINH THÔNG TIN Ki m soát r i ro và cách th c x 1 Nh n bi t và Ki m soát tài s n d li u b n m m 6 Qu n lý ho t ng và truy n thông 3 Ki m soát các r i ro ên môi tr ng v t lý l u tr S n sàng 5 Ki m soát r i ro liên quan n con ng i 11 4 Ki m soát r i ro liên quan n các ph n m m i v i tài s n thông tin 3 Ki m soát các r i ro liên quan n môi tr ng v t lý l u tr d li u 2 Ki m soát các biên liên quan... Certification Ltd AN NINH THÔNG TIN Ki m soát r i ro và cách th c x 1 Nh n bi t và Ki m soát tài s n d li u b n m m 6 Qu n lý ho t ng và truy n thông i v i tài s n thông tin 4 Ki m soát r i ro liên quan n các ph n m m 2 Ki m soát các biên liên quan n d li u 3 Ki m soát môi tr ng v t lý l u tr d li u D li u B nm m lý r i ro - ch ng trình ph n m m ng d ng î có b n quy n, - Network î xây d ng các vành ai an ninh... b o m t giá tr tài s n thông tin nh m gi m r i ro trong ph m vi áp d ng và SOA ACT DO Th c hi n các bi n pháp ki m soát an ninh TT • Xác nh m c e d a/ r i ro t i tài s n (r医t cao, cao, trung bình, th医p ) • i m y u d b t n công • Th c hi n ki m soát an ninh d li u, ki m soát r i ro theo m c tiêu và k ho ch x lý r i ro ã t ra Thông tin S n sàng Duy trì và c i ti n an ninh thông tin • Các quy t sách c... c tiêu an ninh •H th ng tài li u (th t c, quy inh ), h s • H t ng k thu t (camera quan sát, server, cáp, máy móc… ) • Con ng i CHECK Giám sát và xem xét ki m soát an ninh thông tin • Báo cáo ánh giá r i ro • ánh giá và o l ng cádc bi n pháp ki m soát r i ro • Nh n bi t và ch p nh n nh ng r i ro còn sót l i Nhà cung c p Các bên quan tâm An ninh thông tin c qu n ly D.A.S Vietnam Certification Ltd AN. .. các trang web có r i ro cao, các bi n pháp k thu t khác… S n sàng 5 Ki m soát r i ro liên quan n con ng i 12 4 Ki m soát r i ro liên quan n các ph n m m D.A.S Vietnam Certification Ltd AN NINH THÔNG TIN Ki m soát r i ro và cách th c x 1 Nh n bi t và Ki m soát tài s n d li u b n m m 6 Qu n lý ho t ng và truy n thông 3 Ki m soát môi tr ng v t lý l u tr d li u S n sàng 5 Ki m soát r i ro liên quan n con... và cam k t b o m t thông tin i v i các cá nhân ( c bi t i v i cá nhân có m c r i ro , nh k và t xu t ki m tra vi c tuân th các nguyên t c b o m t… -D.A.S Vietnam Certification Ltd AN NINH THÔNG TIN ol ng m c r i ro và cách th c x lý r i ro i v i tài s n TT PLAN T ch c Khách hàng Nhà cung c p Các bên quan tâm Các yêu c u và mong iv ISMS 14 T ch c Xây d ng các m c tiêu ki m soát an ninh TT Khách hàng... ng v n c n quan tâm khi xây d ng HTQLANTT 1 CSO/ ISMR Con ng i CSO/ ISMR là Lãnh 27001:2005 o cao nh t nh n th c yêu c u ISO/IEC Nhân s c a T ch c và các bên liên quan ph i nh n th c và tuân th Thi t b ng b L u tr tài s n thông tin: L u gi b n c ng (phòng, t , khóa ) L u tr b n m m: Server, h th ng backup d li u n i b , t xa, d li u, máy h y tài li u… Truy c p, x lý và truy n t i thông tin: ph n m... 13 4 Ki m soát r i ro liên quan n các ph n m m i v i tài s n thông tin 5 Ki m soát r i ro liên quan n con ng i 2 Ki m soát các biên liên quan n d li u D li u B nm m lý r i ro Ti p c n d li u, ph n m m ng d ng î phân quy n truy c p, quy n phê duy t, ch nh s a, sao chép d li u Xác nh nh ng cá nhân có m c r i ro cao a ra các bi n pháp ki m soát - nh n th c v b o m t thông tin î ào t o, giáo d c nh n th . 1ANTT di góc đ qun lý h thng phù hp tiêu chun ISO/IEC 27001:2005Nhng vn đ cn quan tâm khi xây dng ISMSGiy chng nhn toàn cu ISO/IEC 27001:2005. trong kinh doanhQu違n lý s詠 c嘘 an ninh thông tinChính sách an ninhISMSKi吋m soát135910E7C8264Qu違n lý tài s違nAn ninh ngu欝n nhân l詠cAn ninh v壱t lý và môi tr逢運ngKi吋m