MASCI Co., Ltd 004, Kim Son Apartment Building, Truc street ward 13, Binh Thanh district, Ho Chi Minh city Tel: 08.5445.4564 email: info@masci.com.vn www.masci.com.vn; www.facebook.com/masci.co.ltd TÀI LIỆU GIỚI THIỆU DỊCH VỤ TƯ VẤN VÀ ĐÀO TẠO XÂY DỰNG HỆ THỐNG QUẢN LÝ AN NINH THÔNG TIN THEO TIÊU CHUẨN ISO/IEC 27001:2013 Liên hệ Tel Mobile Email : Nguyễn Trung Kiên : 08.5445.4564 : 090.338.5154 : kiennt@masci.com.vn kiennguyentdc@gmail.com Năm 2016 MASCI Co., Ltd 004, Kim Son Apartment Building, Truc street ward 13, Binh Thanh district, Ho Chi Minh city Tel: 08.5445.4564 email: info@masci.com.vn www.masci.com.vn; www.facebook.com/masci.co.ltd GIỚI THIỆU DỊCH VỤ TƯ VẤN ISO/IEC 27001:2013 Với độ ngũ chuyên gia đào tạo bản, chuyên nghiệp, có nhiều năm kinh nghiệm làm việc li ̃nh vự c quả n lý an ninh thông tin từ trướ c tiêu chuẩn ́ xây dự ng và ISO/IEC 27001 được ban hành, đánh giá, phân ti ́ch và tư vân áp dụng hệ thống quả n lý an ninh thông tin một cách có hiệu quả , góp phần nâng cao hiệu hoạt động doanh nghiệp, giả m thiểu được rủ i ro an ninh thông tin cho doanh nghiệp Việc xây dựng áp dụng thành công hệ thống quản lý minh chứng cho việc đảm bảo an ninh thông tin cho khách hàng ́ , đào tạo và tham Trong nhiều năm qua, chuyên gia công ty tư vân gia đánh giá chứ ng nhận cho 20 đơn vi ̣ li ̃nh vự c này Dịch vụ giá trị gia tăng (miễn phí): Công ty giới thiệu miễn phí tổng quan Hệ thống quản lý an ninh thông tin theo tiêu chuẩn ISO/IEC 27000, trình tự thực dự kiến khối lượng công việc cho Quý doanh nghiệp nhằm giúp cho CBCNV hiểu rõ tiêu chuẩn ISO/IEC 27000 trước định ký hợp đồng thực dự án Hỗ trợ xây dựng, thuyết minh đề án Hỗ trợ đánh giá chứng nhận Hỗ trợ, trao đổi thông tin trình đơn vị trì hệ thống 2/8 MASCI Co., Ltd 004, Kim Son Apartment Building, Truc street ward 13, Binh Thanh district, Ho Chi Minh city Tel: 08.5445.4564 email: info@masci.com.vn www.masci.com.vn; www.facebook.com/masci.co.ltd QUY TRÌNH TƯ VẤN XÂY DỰNG VÀ ÁP DỤNG ISO/IEC 27001 Tiếp xúc ban đầu Giới thiệu ISO/IEC 27000 Xác ̣nh phạ m vi ISMS Hợp đồng, kế hoạch Khảo sát thực trạng Đào tạo nhận thức, XD tà i liệ u Thiết lập sách, mụ c tiêu Xác định bối cảnh nội bên Xác định bên quan tâm yêu cầu họ 10 Xây dự ng phương pháp đánh giá rủi ro 11 Xây dựng tiêu chí chấp nhận rủi ro 12 Đánh giá rủi ro 13 Tù y chọ n xử lý rủi ro 14 Lự a chọ n mụ c tiêu kiểm soát và biệ n pháp kiểm soát 15 Xây dự ng kế hoạch xử lý Risk 3/8 MASCI Co., Ltd 004, Kim Son Apartment Building, Truc street ward 13, Binh Thanh district, Ho Chi Minh city Tel: 08.5445.4564 email: info@masci.com.vn www.masci.com.vn; www.facebook.com/masci.co.ltd 16 XD bảng tuyên bố áp dụ ng 17 Soạn thảo soát xét tài liệu (gồm trách nhiệm quyền hạn) 18 Á p dụ ng: Thự c hiệ n kế hoạch xử lý Risk, các biệ n pháp kiểm soát đã chọ n, các thủ tụ c vận hà nh ISMS 19 Đào tạo chuyên gia đánh giá nội 20 Tiến hành đánh giá nội 21 Khắc phụ c sau đánh giá 22 Họ p xem xé t của lãnh đạo về ANTT 23 Đánh giá chứng nhận 24 Nhận Giấy chứng nhận, trì cải tiến hệ thống (Ghi chú: tổng thờ i gian xây dự ng đêń đánh giá chứ ng nhận tù y thuộc và o nguồn lự c, nhận thứ c củ a tổ chứ c, khoả ng từ 06 đêń 10 tháng) 4/8 MASCI Co., Ltd 004, Kim Son Apartment Building, Truc street ward 13, Binh Thanh district, Ho Chi Minh city Tel: 08.5445.4564 email: info@masci.com.vn www.masci.com.vn; www.facebook.com/masci.co.ltd Hệ thống quản lý an ninh thông tin ISO/IEC 27001:2013 Giới thiệu chung ISO 27001 tiêu chuẩn hệ thống quản lý an ninh thông tin (ISMS–Information Security Management System) Tổ chức tiêu chuẩn hoá quốc tế (ISO) phát triển ban hành vào tháng 10 năm 2005, soát xét vào tháng 10/2013 Tiêu chuẩn cung cấp mô hình để thiết lập, áp dụng, vận hành, giám sát, xem xét, trì, cải tiến ISMS áp dụng cho hầu hết loại hình tổ chức như: tổ chức kinh doanh – thương mại, Chính phủ, tổ chức phi lợi nhuận ISO/IEC 27002 “bộ quy tăć thực hành tốt an ninh thông tin” tiêu chuẩn bổ sung cho ISO 27001, nêu cụ thể biện pháp kiểm soát an ninh phụ lục A ISO 27001, lựa chọn áp dụng phần hệ thống an ninh thông tin Hai tiêu chuẩn hoà hợp liên quan mật thiết với ISO 27001 qui định yêu cầu hệ thống an ninh thông tin sở để bên thứ ba xem xét đánh giá cấp chứng ISO 27001 xây dựng hài hoà, tương thích với hệ thống quản lý khác như: ISO 9001:2015, ISO 14001:2015 có ảnh hưởng phạm vi toàn cầu Lợi ích việc áp dụng ISO 27001:2013 Chứng tỏ cam kết đảm bảo an ninh thông tin cấp độ tổ chức Đảm bảo tính mật, toàn vẹn sẵn sàng tài sản thông tin Tạo niềm tin cho đối tác khách hàng Giảm thiếu rủi ro gặp phải Nhanh chóng khắc phục cố xảy Giảm giá thành chi phí bảo hiểm Giảm chi phí sửa chữa, trang bị lại thiết bị Nâng cao nhận thức trách nhiệm tất nhân viên an ninh thông tin Nâng cao hình ảnh quan, đơn vị Tạo lợi cạnh tranh đấu thầu, kinh doanh Thể tính cạnh tranh quốc tế, giúp cho việc kinh doanh có công nhận toàn giới 5/8 MASCI Co., Ltd 004, Kim Son Apartment Building, Truc street ward 13, Binh Thanh district, Ho Chi Minh city Tel: 08.5445.4564 email: info@masci.com.vn www.masci.com.vn; www.facebook.com/masci.co.ltd Bộ tiêu chuẩn ISO/IEC 27000 ISO/IEC 27000:2014 – Các nguyên tắc từ vựng ISO/IEC 27001:2013 – Các yêu cầu hệ thống quản lý an ninh thông tin ISO/IEC 27002:2013 – Quy tăć thự c hành an ninh thông tin ISO/IEC 27003:2007 – Hướng dẫn áp dụng Hệ thống quản lý an ninh thông tin ISO/IEC 27004:2006 – Hướ ng dẫn Đo lường Hệ thống quản lý an ninh thông tin ISO/IEC 27005:2011 – Hướ ng dẫn Quản lý rủi ro HTQL an ninh thông tin ISO/IEC 27006:2011 – Các yêu cầu tổ chức chứng nhận ISO/IEC 27007:2011 – Hướng dẫn đánh giá nội bộ HTQL an ninh thông tin 6/8 MASCI Co., Ltd 004, Kim Son Apartment Building, Truc street ward 13, Binh Thanh district, Ho Chi Minh city Tel: 08.5445.4564 email: info@masci.com.vn www.masci.com.vn; www.facebook.com/masci.co.ltd Các yêu cầu tiêu chuẩn quốc tế ISO 27001:2013 Bối cảnh tổ chức (hiểu nội bên ngoài; xác định phạm vi áp dụng) Lãnh đạo (yêu cầu chứng minh việc cam kết, thiết lập sách, mục tiêu, thiết lập trách nhiệm quyền hạn Hoạch định: - Xác định rủi ro hội  Xác định rủi ro (yêu cầu hoạch định hoạt động để xác định rủi ro)  Xác định hội để đạt kết mong muốn, giảm thiểu rủi ro (yêu cầu hoạch định hoạt động để xác định hội)  Cách thức đánh giá hiệu hoạt động - Đánh giá rủi ro  Thiết lập chuẩn mực (đánh giá chấp nhận)  Nhận biết rủi ro  Phân tích rủi ro  Lượng hóa rủi ro - Xử lý rủi ro  Chọn tùy chọn xử lý (chọn tùy chọn)  Chọn biện pháp kiểm soát (có thể phụ lục A)  Tuyên bố áp dụng biện pháp kiểm soát (kể biện pháp phụ lục A)  Xây dựng kế hoạch xử lý rủi ro  Phê duyệt rủi ro lại - Thiết lập mục tiêu ANTT hoạch định để đạt MT ANTT  Thiết lập MT ANTT  Hoạch định cách thức để đạt mục tiêu (5W, 1H) Hỗ trợ - Nguồn lực (nhân lực, vật lực, thời gian) - Xác định lực nhân - Đào tạo nhận thức - Xác định kên trao đổi thông tin (nội bên – 5W, 1H) - Kiểm soát tài liệu, hồ sơ (thông tin lập thành tài liệu) 7/8 MASCI Co., Ltd 004, Kim Son Apartment Building, Truc street ward 13, Binh Thanh district, Ho Chi Minh city Tel: 08.5445.4564 email: info@masci.com.vn www.masci.com.vn; www.facebook.com/masci.co.ltd Vận hành - Thực trình - Thực đánh giá rủi ro ANTT - Thực xử lý rủi ro ANTT - Kiểm soát việc thực - Kiểm soát trình thuê Đánh giá việc thực Giám sát, đo lường, phân tích đánh giá Đánh giá nội Hệ thống ISMS Xem xét lãnh đao Hệ thống ISMS Cải tiến Sự không phù hợp Cải tiến liên tục Kèm theo phụ lục quan trọng gồm 114 biện pháp kiểm soát, 35 mục tiêu kiểm soát được phân thành 14 nhóm yếu tố, sau : Chính sách an ninh thông tin (A.5) Tổ chức an ninh thông tin (A.6) An ninh nguồn nhân lực (A.7) Quản lý tài sản (A.8) Kiểm soát truy cập (A.9) Mã hóa (A.10) An ninh vật lý và môi trường (A.11) An ninh vận hành (A.12) An ninh trao đổi thông tin (A.13) 10 Tiếp nhận, phát triển trì Hệ thống (A.14) 11 Mối quan hệ với nhà cung ứng (A.15) 12 Quản lý cố an ninh thông tin (A.16) 13 An ninh đả m bả o tính liên tục hoạt động (A.17) 14 Sự tuân thủ (A.18) Mọi chi tiết xin liên hệ: Nguyễn Trung Kiên Email: kiennt@masci.com.vn kiennguyentdc@gmail.com Tel: 08.5445.4564 Mobile: 090.338.5154 8/8