Chứng nhận hệ thống quản lý an ninh thông tin ISO 27001 Tiêu chuẩn ISO 27001 gì? • • ISO 27001 tiêu chuẩn hệ thống bảo mật thông tin tổ chức mong muốn có hệ thống kiểm soát tổng thể bảo mật thông tin Trong tổ chức, tài sản thông tin ngày có giá trị, tài sản cần – đảm bảo tính bảo mật (confidentiality), – tính toàn vẹn(integrity) – tính sẵn sàng(availability) Áp dụng tiêu chuẩn ISO 27001 giúp tổ chức bảo vệ tài sản thông tin Ngăn ngừa kiểm soát rủi ro, nguy xảy đến tài sản tổ chức Bộ tiêu chuẩn ISO 27000 • - ISO 27000 quy định vấn đề từ vựng định nghĩa (thuật ngữ) - ISO 27001:2005 xác định yêu cầu hệ thống quản lý an toàn thông tin - ISO 27002:2007 đưa qui phạm thực hành mô tả mục tiêu kiểm soát an toàn thông tin toàn diện bảng lựa chọn kiểm soát thực hành an toàn tốt - ISO 27003:2007 đưa hướng dẫn áp dụng - ISO 27004:2007 đưa tiêu chuẩn đo lường định lượng hệ thống quản lý an toàn thông tin để giúp cho việc đo lường hiệu lực việc áp dụng ISMS - ISO 27005 tiêu chuẩn quản lý rủi ro an toàn thông tin - ISO 27006 tiêu chuẩn hướng dẫn cho dịch vụ khôi phục thông tin sau thảm hoạ công nghệ thông tin viễn thông II ĐỐI TƯỢNG ÁP DỤNG ISO/IEC 27001:2005 • • • • tổ chức thương mại, • Một hệ thống ISMS hiệu lực, phù hợp, đầy đủ giúp bảo vệ tài sản thông tin đem lại tin tưởng bên liên quan đối tác, khách hàng… tổ chức • quan nhà nước, tổ chức phi lợi nhuận… ) Có hoạt động phụ thuộc nhiều vào công nghệ thông tin, máy tính, mạng máy tính, sử dụng sở liệu như: ngân hàng, tài chính, viễn thông,… ISO/IEC 27001 phần hệ thống quản lý chung tổ chức, doanh nghiệp xây dựng độc lập kết hợp với hệ thống quản lý khác ISO 9000, ISO 14000 Lợi ích áp dụng • • Cấp độ tổ chức • Cấp độ pháp luật Tuân thủ: chứng minh cho nhà chức trách tổ chức tuân theo tất luật qui định áp dụng Điều quan trọng chuẩn bổ sung chuẩn luật tồn khác • Cấp độ điều hành Quản lý rủi ro: Mang lại hiểu biết tốt hệ thống thông tin, điểm yếu chúng làm để bảo vệ chúng Tương tự, đảm bảo nhiều khả sẵn sàng phụ thuộc phần cứng phần mềm Đảm bảo tính sẵn sàng tin cậy phần cứng sở liệu Sự cam kết: Chứng cam kết hiệu nổ lực đưa an ninh tổ chức đạt cấp độ chứng minh cần cù thích đáng người quản trị Lợi ích áp dụng(tt) • Cấp độ thương mại Sự tín nhiệm tin cậy: Các thành viên, cổ đông, khách hàng vững tin thấy khả chuyên nghiệp tổ chức việc bảo vệ thông tin Chứng giúp nhìn nhận riêng từ đối thủ cạnh tranh thị trường • Cấp độ tài Tiết kiệm chi phí khắc phục lỗ hỏng an ninh có khả giảm chi phí bảo hiểm • Cấp độ người Cải tiến nhận thức nhân viên vấn đề an ninh trách nhiệm họ tổ chức Lịch sử • • • • • • chuẩn BS7799 Viện chuẩn Anh quốc (British Standards Institution BSI từ năm 1990 thiết lập cấu trúc an ninh thông tin chung cho tổ chức Năm 1995, chuẩn the BS7799 thức công nhận Tháng năm 1999 phiên thứ chuẩn BS7799 phát hành với nhiều cải tiến chặt chẽ Tháng 12/2000, ISO tiếp quản phần đầu BS7799 ISO 17799 ISO 17799 (mô tả Qui tắc thực tế cho hệ thống quản lý an ninh thông tin) BS7799 (đặc tính kỹ thuật cho hệ thống an ninh thông tin 9/2002 phần chuẩn BS7799 thực để tạo quán với chuẩn quản lý khác ISO 9001:2000 ISO 14001:1996 với nguyên tắc Tổ chức Hợp tác phát triển kinh tế (OECD) 15/10/2005 ISO phát triển ISO 17799 BS7799 thành ISO 27001:2005 trọng vào công tác đánh giá chứng nhận ISO 27001 thay cách trực tiếp cho BS7799-2:2002, định nghĩa hệ thống ISMS hướng đến cung cấp mô hình cho việc thiết lập, thi hành, điều hành, kiểm soát, xem xét, trì cải tiến ISMS Hệ thống quản lý an ninh thông tin (ISMS) • Chính sách an ninh (Security Policy) • Tổ chức an ninh (Security Organization) • Phân loại kiểm soát tài sản (Asset Classification and Control) Cung cấp dẫn quản lý hỗ trợ an ninh thông tin Quản lý an ninh thông tin tổ chức, trì an ninh trình hỗ trợ thông tin tổ chức tài sản thông tin truy cập thành phần thứ ba trì an ninh thông tin trách nhiệm việc xử lý thông tin khoán cho tổ chức khác Duy trì đảm bảo tài sản tổ chức bảo vệ cấp độ thích hợp Hệ thống quản lý an ninh thông tin (ISMS) • An ninh nhân (Personnel Security) • An ninh môi trường vật lý (Physical and Enviromental Security) Để giảm rủi ro lỗi người, ăn cắp, gian lận lạm dụng Đảm bảo người dùng nhận thức mối đe dọa an ninh thông tin liên quan trang bị để hỗ trợ sách an ninh tổ chức phạm vi công việc bình thường họ, giảm thiểu từ bất thường sai chức an ninh để kiểm soát học hỏi từ bất thường Ngăn cản truy cập vật lý không phép, phá hủy can thiệp đến thông tin ngơi doanh nghiệp Ngăn cản mát, phá hủy công tài sản cắt đứt hoạt động kinh doanh Ngăn cản công ăn cắp thông tin qui trình hỗ trợ xử lý thông tin • Quản lý tác nghiệp truyền thông (Communications and Operations Management) Đảm bảo tác nghiệp bảo mật hỗ trợ xử lý thông tin, giảm thiểu rủi ro lỗi hệ thống, bảo vệ nguyên vẹn phần mềm thông tin từ việc phá hủy phần mềm dã tâm Duy trì nguyên vẹn sẵn sàng trình xử lý thông tin dịch vụ truyền thông, đảm bảo an toàn thông tin mạng bảo vệ sở hạ tầng hỗ trợ, ngăn cản phá hủy tài sản làm gián đoạn hoạt động kinh doanh, ngăn cản mát, sửa đổi lạm dụng thông tin trao đổi tổ chức V Hệ thống quản lý an ninh thông tin (ISMS) t • Kiểm soát truy cập (Access Control) Kiểm soát truy cập đến thông tin, đảm bảo quyền truy cập đến hệ thống thông tin cấp quyền, cấp phát tài nguyên trì cách phù hợp Ngăn cản truy cập trái phép, phát hoạt động trái phép, bảo vệ dịch vụ mạng, đảm bảo an ninh thông tin dùng máy tính di động phương tiện điện thoại Duy trì phát triển hệ thống (Systems Development and Maintenance) Đảm bảo an ninh xây dựng bên hệ thống thông tin Ngăn cản, điều chỉnh, lạm dụng liệu người dùng hệ thống ứng dụng, bảo vệ tính tin cậy, tính xác thực nguyên vẹn thông tin Đảm bảo dự án CNTT hoạt động hỗ trợ điều hành thể thức an ninh Duy trì an ninh phần mềm hệ thống ứng dụng thông tin Quản lý liên tục kinh doanh (Business Continuity Management) Chống lại ngưng trệ họat động kinh doanh bảo vệ trình kinh doanh quan trọng từ hậu lỗi lớn hiểm họa 10 Tuân thủ (Compliance) VI Áp dụng mô hình PDCA để triển khai hệ thống ISMS • Plan (Thiết lập ISMS) Thiết lập sách an ninh, mục tiêu, mục đích, trình thủ tục phù hợp với việc quản lý rủi ro cải tiến an ninh thông tin để phân phối kết theo mục tiêu sách tổng thể tổ chức • Do (Thi hành điều hành ISMS) Thi hành điều hành sách an ninh, dấu hiệu kiểm soát, trình thủ tục • Check (Kiểm soát xem xét ISMS) Đánh giá, tìm kiếm phù hợp, đo lường hiệu trình so với sách an ninh, mục tiêu, kinh nghiệm thực tế báo cáo kết cho lãnh đạo xem xét • Act (duy trì cải tiến ISMS) Đưa hành động khắc phục phòng ngừa sở kết xem xét để cải tiến liên tục hệ thống ISMS CÁC BƯỚC TRIỂN KHAI • • • • • • • • • • • Các bước cần thực để đạt chứng nhận hệ thống quản lý an toàn thông tin ISO/IEC 27001: 1) Cam kết Lãnh đạo xây dựng hệ thống quản lý an toàn thông tin cho tổ chức 2) Phổ biến, đào tạo nhận thức tiêu chuẩn ISO/IEC 27001 cho cán 3) Thiết lập hệ thống tài liệu theo yêu cầu tiêu chuẩn ISO/IEC 27001 4) Xây dựng sách, mục tiêu phạm vi hệ thống ISMS 5) Phân tích, đánh giá rủi ro an toàn thông tin phạm vi hệ thống 6) Thiết lập biện pháp kiểm soát rủi ro 7) Lựa chọn mục tiêu biện pháp kiểm soát 8) Vận hành hệ thống ISMS thiết lập 9) Thực hoạt động xem xét cải tiến hiệu lực hệ thống 10) Đánh giá chứng nhận Triển khai chuẩn ISO 27001:2005 cho tổ chức • Giai đoạn 1: Khởi động dự án Thi hành ISO 27001:2005 hình thức: ủng hộ cam kết từ lãnh đạo cấp cao, chọn đào tạo tất thành viên nhóm khởi động phần dự án • Giai đoạn 2: Thiết lập ISM Nhận dạng phạm vi giới hạn cấu quản lý an ninh thông tin cốt lõi cho dự án Nghiên cứu để thiết lập yêu cầu ISMS xếp tài liệu an ninh tồn tổ chức • Giai đoạn 3: Đánh giá rủi ro Đánh giá rủi ro thao tác để triển khai cấu quản lý an ninh thông tin • a) Khảo sát cấp độ tuân thủ với ISO 27001:2005 • b) Định giá tài sản để bảo vệ tạo thống kê tài sản • c) Nhận dạng đánh giá mối đe dọa nơi dễ bị công • d) Tính toán liên quan đến giá trị rủi ro Triển khai chuẩn ISO 27001:2005 cho tổ chức(t) • Giai đoạn 4: Xử lý rủi ro Nhận dạng đánh giá khả cho việc xử lý rủi ro Làm cách để giảm rủi ro đến cấp độ chấp nhận việc chọn thi hành kiểm soát • Giai đoạn 5: Đào tạo nhận thức Nhân viên giới thiệu liên kết yếu chuỗi an ninh Nghiên cứu cách làm để thiết lập chương trình nhận thức an ninh thông tin • Giai đoạn 6: Chuẩn bị đánh giá Nghiên cứu cách xác thực cấu quản lý để chuẩn bị cho việc đánh giá chuyên gia đánh giá nội • Giai đoạn 7: Đánh giá Xem xét bước thực chuyên gia đánh giá bên đoàn đánh giá chứng nhận thức • Giai đoạn 8: Kiểm soát cải tiến liên tục Cải tiến hiệu hệ thống ISMS phù hợp với mô hình quản lý tổ chức ghi nhận ISO [...]... tiến liên tục hệ thống ISMS CÁC BƯỚC TRIỂN KHAI • • • • • • • • • • • Các bước cơ bản cần thực hiện để đạt được chứng nhận hệ thống quản lý an toàn thông tin ISO/ IEC 27001: 1) Cam kết của Lãnh đạo về xây dựng hệ thống quản lý an toàn thông tin cho tổ chức 2) Phổ biến, đào tạo nhận thức về tiêu chuẩn ISO/ IEC 27001 cho cán bộ 3) Thiết lập hệ thống tài liệu theo yêu cầu tiêu chuẩn ISO/ IEC 27001 4) Xây... hệ thống (Systems Development and Maintenance) Đảm bảo an ninh được xây dựng bên trong các hệ thống thông tin Ngăn cản, điều chỉnh, và lạm dụng dữ liệu của người dùng trong các hệ thống ứng dụng, bảo vệ tính tin cậy, tính xác thực hoặc nguyên vẹn của thông tin Đảm bảo các dự án CNTT và các hoạt động hỗ trợ được điều hành trong một thể thức an ninh Duy trì an ninh của phần mềm hệ thống ứng dụng và thông. ..V Hệ thống quản lý an ninh thông tin (ISMS) t • 7 Kiểm soát truy cập (Access Control) Kiểm soát truy cập đến thông tin, đảm bảo các quyền truy cập đến các hệ thống thông tin được cấp quyền, cấp phát tài nguyên và duy trì một cách phù hợp Ngăn cản truy cập trái phép, phát hiện các hoạt động trái phép, bảo vệ các dịch vụ mạng, đảm bảo an ninh thông tin khi dùng máy tính di động... khai cơ cấu quản lý an ninh thông tin • a) Khảo sát các cấp độ tuân thủ với ISO 27001: 2005 • b) Định giá tài sản để được bảo vệ và tạo thống kê tài sản • c) Nhận dạng và đánh giá các mối đe dọa và những nơi dễ bị tấn công • d) Tính toán liên quan đến giá trị rủi ro Triển khai chuẩn ISO 27001: 2005 cho tổ chức(t) • Giai đoạn 4: Xử lý rủi ro Nhận dạng và đánh giá các khả năng có thể cho việc xử lý rủi ro... chính sách, mục tiêu và phạm vi của hệ thống ISMS 5) Phân tích, đánh giá các rủi ro về an toàn thông tin trong phạm vi của hệ thống 6) Thiết lập các biện pháp kiểm soát rủi ro 7) Lựa chọn mục tiêu và các biện pháp kiểm soát 8) Vận hành hệ thống ISMS đã thiết lập 9) Thực hiện các hoạt động xem xét và cải tiến hiệu lực hệ thống 10) Đánh giá chứng nhận Triển khai chuẩn ISO 27001: 2005 cho tổ chức • Giai đoạn... mềm hệ thống ứng dụng và thông tin 9 Quản lý sự liên tục trong kinh doanh (Business Continuity Management) Chống lại sự ngưng trệ của các họat động kinh doanh và bảo vệ các quá trình kinh doanh quan trọng từ hậu quả của lỗi lớn hoặc hiểm họa 10 Tuân thủ (Compliance) VI Áp dụng mô hình PDCA để triển khai hệ thống ISMS • 1 Plan (Thiết lập ISMS) Thiết lập chính sách an ninh, mục tiêu, mục đích, các quá... đoạn 1: Khởi động dự án Thi hành ISO 27001: 2005 dưới các hình thức: ủng hộ cam kết từ lãnh đạo cấp cao, chọn và đào tạo tất cả các thành viên của nhóm khởi động là một phần trong dự án • Giai đoạn 2: Thiết lập ISM Nhận dạng phạm vi và giới hạn của cơ cấu quản lý an ninh thông tin là cốt lõi cho dự án Nghiên cứu để thiết lập yêu cầu của ISMS và sắp xếp các tài liệu an ninh đã tồn tại trong tổ chức •... Làm cách nào để giảm rủi ro đến cấp độ có thể chấp nhận được bằng việc chọn và thi hành các kiểm soát • Giai đoạn 5: Đào tạo và nhận thức Nhân viên có thể giới thiệu các liên kết yếu trong chuỗi an ninh Nghiên cứu cách làm thế nào để thiết lập chương trình nhận thức an ninh thông tin • Giai đoạn 6: Chuẩn bị đánh giá Nghiên cứu cách xác thực cơ cấu quản lý và để chuẩn bị cho việc đánh giá của chuyên gia... hợp với việc quản lý rủi ro và cải tiến an ninh thông tin để phân phối các kết quả theo các mục tiêu và chính sách tổng thể của tổ chức • 2 Do (Thi hành và điều hành ISMS) Thi hành và điều hành chính sách an ninh, các dấu hiệu kiểm soát, các quá trình và các thủ tục • 3 Check (Kiểm soát và xem xét ISMS) Đánh giá, tìm kiếm sự phù hợp, đo lường hiệu năng của quá trình so với chính sách an ninh, mục tiêu,... gia đánh giá nội bộ • Giai đoạn 7: Đánh giá Xem xét các bước thực hiện của chuyên gia đánh giá bên ngoài và đoàn đánh giá chứng nhận chính thức • Giai đoạn 8: Kiểm soát và cải tiến liên tục Cải tiến hiệu quả của hệ thống ISMS phù hợp với mô hình quản lý của tổ chức được ghi nhận bởi ISO ... cấp dẫn quản lý hỗ trợ an ninh thông tin Quản lý an ninh thông tin tổ chức, trì an ninh trình hỗ trợ thông tin tổ chức tài sản thông tin truy cập thành phần thứ ba trì an ninh thông tin trách nhiệm... đạt chứng nhận hệ thống quản lý an toàn thông tin ISO/ IEC 27001: 1) Cam kết Lãnh đạo xây dựng hệ thống quản lý an toàn thông tin cho tổ chức 2) Phổ biến, đào tạo nhận thức tiêu chuẩn ISO/ IEC 27001. .. 17799 ISO 17799 (mô tả Qui tắc thực tế cho hệ thống quản lý an ninh thông tin) BS7799 (đặc tính kỹ thuật cho hệ thống an ninh thông tin 9/2002 phần chuẩn BS7799 thực để tạo quán với chuẩn quản lý