ĐỀ CƯƠNG ƠN TẬP QUẢN LÝ VÀ XÂY DỰNG CHÍNH SÁCH ATTT Mục lục Câu 1: Một số khái niệm • Thơng tin: tính chất xác định vật chất mà người cảm nhận từ giới vật chất bên từ q trình xảy bên thân • Hệ thống thông tin: tập hợp máy tính gồm phần cứng, phần mềm, liệu làm việc tích lũy qua thời gian • An tồn hệ thống thông tin: việc bảo vệ thông tin bảo vệ hệ thống lưu trữ xử lý thông tin Sự bảo vệ có nghĩa chống lại rủi ro dấn tới việc truy cập, sử dụng, làm lộ, phá vỡ, sửa chữa hay phá hủy thông tin cách bất hợp pháp • Hệ thống quản lý thông tin (ISMS): phương tiện quản lý cao nhằm quản lý kiểm soát mức độ an ninh, giảm thiểu tối đa rủi ro đảm bảo mức độ an ninh, tiếp tục đáp ứng yêu cầu doanh nghiệp, khách hàng, pháp luật Câu 2: Hiểm họa, rủi ro, điểm yếu Mối quan hệ chúng • Hiểm họa: khả tác động đến thông tin, hệ thống thông tin dẫn tới thay đổi, hư hại, chép, phá hủy hệ thống thơng tin, khả mối đe dọa gây hại cho • Rủi ro: khả xấu xảy hệ thống thơng tin • Điểm yếu: khiếm khuyết chức năng, thành phần hệ thống thông tin bị khai thác Mối quan hệ hiểm họa, rủi ro, điểm yếu • Rủi ro điểm yếu điều kiện cần đủ để xảy hiểm họa Nếu thiếu yếu tố hiểm họa khơng xảy Câu 3: Định nghĩa sách ATTT? Tại lại quan trọng? Phân tích lý • Định nghĩa: o Chính sách ATTT tập hợp thị hướng dẫn ATTT Chính sách an tồn bảo mật thơng tin tập hợp điều luật, quy định bảo đảm bảo vệ có hiệu hệ thống thông tin chống lại hiểm họa ATTT o Theo sách “da cam”, sách ATTT tập hợp điều luật, quy định giải pháp thực tế để giám sát điều khiển, bảo vệ phân phối thông tin nhạy cảm hệ thống o Chính sách ATTT thể ý chí, tâm cấp lãnh đạo với việc bảo vệ HTTT, bao gồm đầy đủ yếu tố: thông tin, hạ tầng thơng tin, ứng dụng • Tại sách ATTT lại quan trọng? o Bảo vệ hệ thống khỏi mối đe dọa từ người dùng nội bộ: mối đe dọa từ người dùng nội hiểu người dùng hợp pháp, có khả truy cập vào hệ thống phá hoại hệ thống Do mối đe dọa từ người dùng nội xem mối đe dọa lớn với hệ thống Chính sách ATTT giúp giám sát hoạt động người dùng hợp pháp, hạn chế mối đe dọa kiểu o Bảo vệ thông tin tĩnh thông tin đường truyền: liệu có hai dạng liệu tĩnh liệu tệp lưu liệu đường truyền liệu vận chuyển mạng Các sách giúp ln ln bảo vệ liệu thời điểm o Kiểm soát thay đổi sở hạ tầng CNTT: thay đổi tốt cần phải quản lý thay đổi điều giúp làm giảm rủi ro điểm yếu hệ thống Câu 4: Định nghĩa khung sách Mối quan hệ tài liệu khung sách • Khung sách bao gồm sách, chuẩn, sở, thủ tục hướng dẫn o Giống phân cơng theo hình o Là chìa khóa để có chương trình an tồn thành cơng • Mối quan hệ tài liệu khung sách Bên ngồi Bên Chuẩn Chính sách Thủ tục Hướng dẫn Chuẩn - Là tài liệu hình thức nhằm thiết lập: o Các tiêu chuẩn thống mà đánh giá đo o Các phương pháp để hồn thành mục tiêu o Các q trình lặp lại hoàn thành việc bắt buộc tuân thủ sách - Thường phục vụ cho mục đích kiểm tốn - Có hai dạng chuẩn: o Chuẩn kiểm soát: hay dành riêng cho vấn đề tập trung vào lĩnh vực phù hợp mối quan tâm tổ chức, o Chuẩn sở hay kiểm tra dành riêng cho hệ thống tập trung vào cấu hình an tồn hệ thống, thiết bị, hệ điều hành hay ứng dụng cụ thể Thủ tục - Là báo cáo văn nhằm mô tả bước cần thiết để cài đặt trình xử lý dẫn văn cách tuân theo chuẩn - Thủ tục cần phải rõ ràng, dễ hiểu, có tính lặp lại, cập nhật, khẳng định, tài liệu hóa Hướng dẫn - Là tài liệu giúp giải thích sách chuẩn hay thủ tục - Khơng bắt buộc Câu 5: Vòng đời COMIT Khung làm việc Comit gồm pha: Lập kế hoạch tổ chức Giám sát đánh giá Đạt cài đặt Phân phối hỗ trợ • Lập kế hoạch tổ chức: o Bao gồm chi tiết yêu cầu mục tiêu tổ chức o Trả lời câu hỏi “tổ chức muốn làm gì?”, “tổ chức muốn đạt mục đích nào?” o Nhiệm vụ: xem xét lại cách quản lý đầu tư công nghệ thông tin hợp đồng, thỏa thuận mức dịch vụ (SLA), ý tưởng sách • Đạt cài đặt: o Đề cập tới lịch trình chuyển giao công nghệ o Đưa thiết kế bản:  Xây dựng, kiểm sốt an tồn  Các sách  Các tài liệu hỗ trợ o Kết quả: đạt cài đặt xong thiết bị Sau pha tổ chức có kiểm sốt để tạo nên hệ thống, đưa sách, thủ tục, hướng dẫn, đồng thời có đội làm việc trải qua đào tạo • Phân phối hỗ trợ: o Điều chỉnh kiểm sốt, sách, thủ tục, hợp đồng LSA o Phân tích liệu từ pha trước so sánh với hoạt động hàng ngày o Kiểm tra q trình thâm nhập nội bên ngồi Từ đưa đánh giá định phạm vi phòng thủ truy nhập từ xa thủ tục lưu o Xem lại tính đắn hợp đồng LSA, sửa đổi cần o Tổ chức hội nghị thường xuyên trao đổi thơng tin sách với bên cung cấp • Giám sát đánh giá: o Kiểm tra, giám sát kiểm sốt, sách, thủ tục hỗ trợ phân tích tính hiệu o Phân tích để biết liệu kiểm sốt, sách, thủ tục có phù hợp với thay đổi mặt công nghệ môi trường không? o Xem xét yêu cầu cụ thể tổ chức hướng đến chiến lược o Xác định liệu tổ chức có ln thỏa mãn mục tiêu đặt ra? Câu 6: Chính sách quản lý người dùng • Phân loại người dùng: o Nhân viên  Là người dùng phổ biến tổ chức  Cần nắm quyền nhân viên quản lý thông qua việc định danh người dùng: mật khẩu, cập nhật thường xuyên  Kết tổ chức đạt được:  Giảm bớt toàn rủi ro cho tổ chức  Duy trì phân tách trách nhiệm  Đơn giản hóa việc điều tra cố o Người quản trị hệ thống: nhân viên làm việc phận CNTT để cung cấp hỗ trợ kỹ thuật cho hệ thống  Có quyền khơng giới hạn cài đặt, cấu hình, triển khai Do phải có trách nhiệm vấn đề an tồn  Chính sách an tồn giúp giảm bớt rủi ro cách yêu cầu giám sát hoạt động người quản trị hệ thống  Kết tổ chức đạt được:  Giảm toàn rủi ro an toàn cho tổ chức  Giảm đáng kể khối lượng nhật ký  Cải thiện gắn kết thấu hiểu nhiệm vụ kỹ thuật yêu cầu công việc o Nhân viên an ninh  Chịu trách nhiệm thiết kế, thực thi, giám sát chương trình an tồn, phát triển chương trình nhận thức an tồn lãnh đạo  Phải có trách nhiệm cao cơng việc bảo vệ, nâng cao an toàn hệ thống, liệu tổ chức họ có quyền khơng giới hạn o Nhà thầu  Là người làm thạm thời tổ chức, giao vai trị tổ chức  Tn thủ sách an tồn nhân viên bất kì, ngồi tổ chức đưa thêm yêu cầu khác o Khách cơng chúng nói chung  Là lớp người dùng đặc biệt Tổ chức không cần gán định danh mật  Tổ chức cấp quyền cho lớp người dùng thay cá nhân o Người kiểm toán: cá nhân đánh giá thiết kế tính hiệu kiểm sốt  Có quyền truy cập thường xun, bao gồm tồn quyền đọc truy nhập tới nhật ký cài đặt cấu hình • Chính sách đăng ký người dùng o Sử dụng thẻ nhận dạng o Kiểm tra quyền sử dụng hệ thống o Kiểm tra mức độ truy cập hợp lệ vào hệ thống o Ghi lại danh sách người dùng đăng ký o Xóa quyền cấp khơng cịn tồn o Kiểm tra, cập nhật định kì • Chính sách quản lý mật o Nắm rõ quy định sử dụng mật o Người dùng cấp mật tạm thời thay đổi cập nhật hệ thống o Tránh trao đổi mật công khai chưa mã o Xác định mật sử dụng o Sử dụng mật mạnh • Chính sách kiểm tra quyền người dùng o Kiểm tra quyền theo định kỳ, sau lần thay đổi hệ thống, o Với số người dùng cao cấp phải kiểm tra thường xuyên o Kiểm tra tính hợp lệ quyền Câu 7: Các pha xây dựng sách an tồn Xây dựng sách an tồn bao gồm pha: o o o o o Đánh giá rủi ro Xây dựng sách Thực thi Bắt buộc tuân thủ Giám sát, trì cải tiến Câu 8: Định nghĩa rủi ro Cơng thức tính rủi ro Các giai đoạn đánh giá rủi ro • Định nghĩa: rủi ro hậu tiềm tàng gây tài nguyên thuộc tính có giá trị o Rủ ro mát gây kiện với xác suất xảy kiện • Cơng thức tính rủi ro: Rủi ro = xác suất xảy rủi ro X tổn thất gây rủi ro • Các giai đoạn đánh giá rủi ro: gồm giai đoạn xác định rủi ro đánh giá rủi ro Xác định rủi ro: - Xác định tài sản - Xác định phân loại mối đe dọa - Xác định điểm yếu a Xác định tài sản o Tài sản tài nguyên tổ chức cần bảo vệ, tồn dạng logic hay vật lý o Liệt kê tài sản: sử dụng cơng cụ kiểm kê tự động Các tài sản bao gồm thứ hệ thống người, thủ tục, liệu, thống tin, phần mềm, phần cứng, mạng o Phân loại tài sản: cần phân tích kỹ lưỡng, từ thiết lập thứ tự quan trọng tài sản để đưa chiến lược bảo vệ hợp lý o Đánh giá tài sản: tạo bảng đánh giá với câu hỏi dựa tiêu chí xác định như: tài sản đóng vai trị then chốt, tài sản tạo lợi nhuận cao nhất, thu nhập cao nhất… o Phân loại mức độ quan trọng tài sản: sử dụng phương pháp phân tích nhân tố có trọng số Mỗi nhân tố gán trọng số tổng trọng số cho trước b Xác định phân loại mối đe dọa o Mối đe dọa thực thể cho gây nguy hiểm cho tài sản tổ chức o Có nhiều loại mối đe dọa khác nhau, cần nghiên cứu kỹ mối đe dọa thực o Những mối đe dọa không quan trọng loại trừ để tránh phức tạp lập kế hoạch o Một số mối đe dọa an tồn thơng tin như: làm lộ sở hữu trí tuệ, gián điệp hay xâm phạm, ảnh hưởng từ thiên nhiên, lỗi người, lỗi phần cứng, phần mềm, loại công phần mềm, công nghệ lỗi thời… o Thiết lập bảng đánh giá mối đe dọa với tiêu chí xác định c Xác định điểm yếu o Điểm yếu chỗ hệ thống mà khơng có biện pháp kiểm sốt biện pháp kiểm sốt khơng có tác dụng, đướng mà mối đe dọa lợi dụng công tài sản o Xem xét lại mối đe dọa ảnh hưởng đến tài sản để lập danh sách điểm yếu o Lập danh sách điểm yếu mang tính chủ quan, phụ thuộc nhiều vào kinh nghiệm, kiến thức người thực  Quá trình xác định rủi ro cần đạt được: o Danh sách mối đe dọa ứng với mức độ quan trọng dựa theo trọng số loại o Danh sách tài sản điểm yếu phân loại theo mức độ quan trọng o Bảng tài liệu mối đe dọa – điểm yếu – tài sản Đánh giá rủi ro - Gán tỉ lệ mức điểm số rủi ro cho tài sản o Không mang tính tuyệt đối hữu ích để phán đốn rủi ro đưa sách kiểm sốt - Khả xuất điểm yếu xác suất điểm yếu bị cơng lợi dụng o Thương gán giá trị số ví dụ từ 0,1 -> 1,0 or ->100 - Cơng thức tính rủi ro: RR = PxV – R + U P: khả xuất điểm yếu V: giá trị tài sản R: tỉ lệ % rủi ro kiểm sốt có giảm thiểu U: không chắn tri thức điểm yếu - Với mối đe dọa điểm yếu liên quan mà có rủi ro dư thừa cần tạo danh sách sơ kiểm sốt tiềm có - Rủi ro dư thừa rủi ro cịn lại tài sản áp dụng biện pháp kiểm soát Câu 9: Khái niệm phân tích rủi ro Q trình phân tích rủi ro Các phương pháp phân tích rủi ro Ưu, nhược điểm phương pháp • Khái niệm: q trình nhận diện tài sản mối đe dọa cho tài sản đó, phân loại mức nguy hại đưa giải pháp phịng ngừa tích cực • Q trình phân tích rủi ro: gồm bước o Nhận diện tài nguyên sử dụng o Xác định xác rủi ro, hiểm họa, mối quan tâm vấn đề liên quan đến tài nguyên o Phân cấp rủi ro, tìm điểm yếu gây hiểm họa cho tài nguyên hệ thống o Triển khai biện pháp đo lường, quản lý, bảo vệ phải chấp nhận rủi ro o Theo dõi hiệu biện pháp quản lý đánh giá hiệu • Các phương pháp phân tích rủi ro: Phương pháp định lượng Phương pháp định tính Nội dung Gán giá trị cụ thể cho thành phần trình phân tích rủi ro xác định tổn thất mà rủi ro gây Khơng gán giá trị cụ thể cho tham số mà tùy thuộc vào ngữ cảnh định dựa vào mô hình câu hỏi như: “nếu như”, “rất tốt, tốt, xấu”, “đạt, khơng đạt” … Ưu điểm • Kết dựa trình tham số cụ thể độc lập • Việc đánh giá chi phí lợi nhuận cần thiết • Các đánh giá trực quan, dễ minh họa, diễn giải • Thích hợp sử dụng cho cơng cụ phân tích đánh giá tự động • Kết thể tham số quản lý khác • Tính tốn đơn giản • Khơng cần định rõ ràng giá trị vật chất tài sản • Khơng cần định lượng tần suất hiểm họa • Dễ dàng liên kết phận phi kĩ thuật phi bảo mật • Linh hoạt triển khai báo cáo giá trị tiền, %, xác suất Nhược điểm • Tính tốn phức tạp • Mất nhiều cơng sức cho việc định giá tài sản, biện pháp khắc phục • Chỉ hoạt động tốt với công cụ tự động tích hợp hệ tri thức • Khối lượng cơng việc cần phải chuẩn bị trước lớn • Thơng thường khó thực người • Khó khăn hướng dẫn người tham gia xuyên suốt q trình • Rất khó muốn thay đổi định hướng • Bản chất dựa nhiều vào kinh nghiệm chủ quan • Kết phụ thuộc nhiều vào khả chất lượng nhóm làm phân tích rủi ro • Cũng cần có vài hoạt động định lượng cho tài sản có giá trị đặc biệt quan trọng • Khơng có rõ ràng cho việc phân tích chi phí khắc phục rủi ro Câu 10: Khái niệm quản lý rủi ro Mục đích, quy trình quản lý rủi ro • Khái niệm: o Q trình quản lý rủi ro xem thơng tin tài nguyên quan trọng doanh nghiệp o Mỗi doanh nghiệp có loạt yêu cầu riêng để bảo vệ tài ngun thơng tin mình, thường văn hóa thành sách phương pháp o Các biện pháp bảo vệ thay đổi tùy thuộc vào việc đánh giá mức độ quan trọng tiêu chí thơng tin: tính bí mật, tồn vẹn, sẵn sàng • Mục đích quản lý rủi ro o Duy trì niềm tin khách hàng, cổ đông … với doanh nghiệp o Bảo vệ tính bí mật thơng tin nhạy cảm (thơng tin cá nhân, tài chính, thương mại…) o Bảo vệ liệu điều hành nhạy cảm, tránh hành động tiết lộ thông tin trái phép o Bảo vệ toàn doanh nghiệp khỏi hành động lợi dụng công ty khác hoạt động bất hợp pháp 10 o Bảo đảm cho tài nguyên doanh nghiệp không bị sử dụng sai mục đích lãng phí o Bảo vệ doanh nghiệp khỏi hoạt động lừa đảo o Luôn tuân thủ quy tắc luật lệ hợp lý o Bảo vệ doanh nghiệp tránh tai nạn nguy hiểm, gây thiệt hại nghiêm trọng o Bảo đảm cho môi trường làm việc thân thiện • Quy trình quản lý rủi ro Đánh giá rủi ro đưa yêu cầu o Xem xét tài nguyên tài sản thiết yếu doanh nghiệp o Triển khai thực tế phương pháp phân tích, liên kết chặt chẽ với nhu cầu doanh nghiệp o Giao trách nhiệm cho nhà quản lý (CSO) để bảo vệ an toàn cho tài nguyên thông tin o Quản lý rủi ro sở thực tế phát triển Triển khai sách phương pháp quản lý tương ứng o Liên kết sách với rủi ro doanh nghiệp o Triển khai tiêu chuẩn để hỗ trợ sách o Phân biệt tiêu chuẩn với hướng dẫn o Các sách phải có chế báo cáo để kiểm tra lại Nâng cao nhận thức o Liên tục cập nhật rủi ro an tồn thơng tin sách, biện pháp quản lý có liên quan o Liên tục báo cáo cho nhà quản lý thực trạng rủi ro an tồn thơng tin doanh nghiệp Theo dõi, đánh giá hiệu sách quản lý o Theo dõi nguyên nhân ảnh hưởng đến rủi ro hiệu biện pháp quản lý an tồn thơng tin o Dùng kết để định hướng cho hoạt động tương lai chịu trách nhiệm trước cấp lãnh đạo o Luôn cập nhật công cụ kỹ thuật theo dõi, quản lý Câu 11: Các nguyên tắc xây dựng chuẩn sách Quy tắc trách nhiệm - Trách nhiệm cá nhân cần phải rõ ràng - Đảm bảo người hiểu trách nhiệm trước hành động mà họ thực sử dụng tài nguyên hệ thống 11 Quy tắc nhận thức - Chủ sở hữu, nhà cung cấp người sử dụng hệ thống thông tin bên khác phải biết sách, trách nhiệm, cách thức thực hiện, thủ tục tổ chức an toàn hệ thống thông tin Quy tắc đạo đức - Hệ thống thơng tin an tồn HTTT phải cung cấp sử dụng theo chuẩn đạo đức áp dụng môi trường vận hành tổ chức Quy tắc đa lĩnh vực - Viết tài liệu thư viện sách chuẩn phải xem xét tất người bị ảnh hưởng, bao gồm nhân viên kiểm tra, quản trị, tổ chức, vận hành, thương mại, giáo dục pháp luật Quy tắc đối xứng - Các mức an tồn, chi phí, thực hành thu tục nên phù hợp cân giá trị liệu, mức độ tin cậy hệ thống Quy tắc phịng thủ có chiều sâu - Áp dụng lớp kiểm soát bảo vệ với khả phòng ngừa, phát ứng phó làm tăng tính an tồn - Cơ chế an toàn phân tầng để điểm yếu chế bảo vệ hay nhiều chế khác ngăn chặn Quy tắc kịp thời - Tất nhân viên định nhà cung cấp bên thứ phải hành động kịp thời phối hợp với để ngăn chặn ứng phó với vi phạm an toàn Quy tắc đánh giá lại - Sự an toàn nên đánh giá định kì rủi ro thay đổi hàng ngày - Cũng cần đánh giá lại chuẩn lần/năm để đảm bảo chúng phù hợp Quy tắc bình đẳng - An tồn thơng tin cân quyền khách hàng, người dùng người khác bị ảnh hưởng hệ thống so với quyền người sở hữu, người vận hành => xem xét người dùng đối tác yêu cầu thông tin mà làm cho quyền riêng tư họ bị rủi ro 10 Quy tắc kẻ thù - Việc kiểm sốt, chiến lược an tồn thơng tin, kiến trúc tài liệu thư viện phải phát triển thực dự đốn cơng từ đối thủ có ý định gây hại 11 Quy tắc đặc quyền tối thiểu - Chỉ nên cấp quyền đủ để thực nhiệm vụ định 12 12 Quy tắc liên tục - Xác định nhu cầu tổ chức, khắc phục thảm họa tiếp tục hoạt động Chuẩn bị cho tổ chức hệ thống thông tin phù hợp 13 Quy tắc an tồn sách tập trung - Chính sách, tiêu chuẩn thủ tục nên thiết lập tảng cho việc quản trị kế hoạch, kiểm sốt, đánh giá hoạt động an tồn thơng tin Câu 12: Các biện pháp tổ chức thực thi sách an tồn • Tổ chức diễn đàn an tồn thơng tin với mục đích: o Thảo luận vấn đề nảy sinh sách, cập nhập sách mới, thỏa thuận người có trách nhiệm o Phân tích, đánh giá thay đổi quan trọng hệ thống thông tin nguy tiềm ẩn hệ thống thông tin o Nghiên cứu phân tích rủi ro an tồn thơng tin o Áp dụng sáng kiến giải pháp tốt nhằm tăng cường an tồn thơng tin • Phân cơng trách nhiệm đảm bảo an tồn thông tin o Đối với hệ thống cần xác định tài ngun có liên quan đến an tồn thông tin o Đối với tài nguyên nên phân công số lãnh đạo chịu trách nhiệm quản lý (CSO) o Cần phải ghi vào văn việc phân cơng o Cần xác định văn người có quyền truy nhập tài nguyên Câu 13: Xuất phát điểm xây dựng ISO • Thứ xuất phát từ việc định đánh giá rủi ro tổ chức Từ đánh giá nguy xảy ước tính ảnh hưởng tiềm ẩn • Thứ xuất phát từ yêu cầu thuộc pháp luật, luật pháp ban hành điều tiết yêu cầu hợp đồng mà tổ chức, đối tác họ, nhà thầu, nhà cung cấp dịch vụ phải đáp ứng • Thứ xuất phát từ nguyên tắc cụ thể, đối tượng yêu cầu phục vụ cho quy trình xử lý thơng tin mà tổ chức phát triển nhằm hỗ trợ cho hoạt động công ty 13 Câu 14: Quy trình PDCA PDCA gồm có bốn bước: Lập kế hoạch (Plan): thiết lập hệ thống ISMS - Xác định phạm vi ISMS - Đề sách ISMS - Xác định phương pháp đánh giá rủi ro tổ chức - Nhận diện rủi ro - Phân tích đánh giá rủi ro… Triển khai vận hành ISMS (Do) - Thiết lập kế hoạch xử lý rủi ro - Thực kế hoạch xử lý rủi ro - Thực cơng việc kiểm sốt chọn để đáp ứng mục tiêu kiểm soát - Quy định cách đo lường hiệu công cụ kiểm soát chọn… Theo dõi rà soát (Check): theo dõi rà soát ISMS - Thực thủ tục theo dõi, soát xet cơng cụ kiểm sốt khác - Rà sốt định kỳ hiệu ISMS - Đo lường hiệu cơng cụ kiểm sốt - Xem xét định kỳ đánh giá rủi ro - Định kỳ đánh giá nội ISMS… Cải tiến (Act): trì cải tiến ISMS - Thực cải tiến xác định - Thực hành động khắc phục phịng ngừa thích hợp - Thơng tin hoạt động cải tiến với tất bên liên quan - Đảm bảo cải tiến đạt mục tiêu đề Câu 15: 10 lý cần phải có ISO Thông tin Thúc đẩy quan hệ đối tác Cắt giảm chi phí theo chuỗi cung ứng Khơng đơn an ninh thông tin Hoạt động quy trình hệ thống qn Khơng riêng phận công nghệ thông tin Được đánh giá tổ chức chứng nhật công nhận quốc tế Tăng khả trúng thầu hội ký kết hợp đồng 14 Cải thiện lợi nhuận 10 Liên tục cải tiến Câu 16: Lợi ích ISO đem lại • Sự liên tục kinh doanh • Đánh giá mối nguy triển khai phương pháp để giảm bớt ảnh hưởng • An ninh cải thiện • Kiểm sốt việc truy cập • Tiết kiệm chi phí • Tạo q trình quản lý nội • Tuyên truyền cam kết bạn để bảo vệ liệu khách hàng • Chứng minh bạn tuân thủ quy định pháp luật • Xác định lãnh đạo cấp cao thực nghiêm túc việc bảo đảm liệu • Đánh giá thường xuyên để trì hiệu bảo mật • Cung cấp chứng nhận độc lập Câu 17: Mục tiêu ISMS • Tạo điều kiện làm việc với độ an tồn cao • Tạo chế phản ứng linh hoạt ngăn chặn mối đe dọa an tồn, cơng vào tài nguyên sở biện pháp phương tiện pháp ly, tổ chức kỹ thuật • Phán đoán kịp thời phát mối đe dọa an toàn, xác định nguyên nhân điều kiện góp phần gây tổn hại tài chính, vật chất tinh thần • Tạo điều kiện nhằm khôi phục tối đa xác định thiệt hại Câu 18: Quy trình ISMS theo ISO 27001 :2013 Gồm có bước: Khởi đầu dự án - Đảm bảo người quản lý có kinh nghiệm, trách nhiệm - Tuyển chọn huấn luyện thành viên nhóm Định nghĩa ISMS 15 - Nhiệm vụ ISMS: o Xác định rõ đặc điểm, phạm vi an tồn thơng tin, quản lí cấu tổ chức điểm trọng yếu o Phạm vi áp dụng an tồn thơng tin Chú ý ISMS phải quản lý ban giám đốc (CISO) - Định nghĩa hợp lý ISMS, phải xác định rõ: mục tiêu, phạm vi, giới hạn, mối giao tiếp, phụ thuộc, ngăn chặn biện minh, bối cảnh chiến lược, bối cảnh công ty Đánh giá rủi ro - Tiêu chuẩn đánh giá theo ISO 27001: 2013: đánh giá rủi ro yếu tố người quản lí cần làm, thể điều khaonr quản lý quy trình thủ tục - Xác định tài nguyên tiên liệu rủi ro - Xác định tiên liệu tài nguyên - Xác nhận tiên liệu mối hiểm họa Quản lý rủi ro - Các tùy chọn để quản lý rủi ro: o Giảm thiểu rủi ro o Chấp nhận rủi ro o Loại bỏ rủi ro o Đánh đổi rủi ro - Lựa chọn: hầu hết trường hợp, ta chọn tùy chọn giảm thiểu rủi ro Do đó, đối tượng phải thiết lập thực thi cách đầy đủ nhằm giảm thiểu rủi ro hệ thống - Kế hoạch quản lý rủi ro: kế hoạch quản lý rủi ro chứa đựng tất thông tin yêu cầu cho việc thực thi công việc quản lý, trách nhiệm, tên chi phí, quản lý sách ưu tiên - Hướng dẫn: phải thực kế hoạch quản lý rủi ro giám sát việc thực thi hướng dẫn thông tin tài nguyên có yêu cầu phải bảo vệ Huấn luyện nhận thức Chuẩn bị kiểm định - Tính phù hợp ISMS với ISO 27001: chứng nhận BS1799 – yêu cầu xác nhận phù hợp với việc thực thi mơ hình quản lý cụ thể - Áp dụng phát biểu ISO: o Các quy trình thực thi phải đưa trước kiểm định Các tài liệu đưa đánh giá khả áp dụng hay không áp dụng hướng dẫn ISO 27001 ISMS Nó bao gồm 16 nơi ứng dụng tình trạng thực hướng dẫn hành o Các đối tượng, hướng dẫn cần lựa chọn phải giải thích ngun nhân lựa chọn đó, chẳng hạn nguyên nhân việc loại bỏ tiêu chuẩn liệt kê chuẩn ISO 27001 Quy trình kiểm định - Chứng nhận BS1799 – 2: yêu cầu tổ chức chứng nhận tiến hành việc kiểm tra ISMS khơng hai giai đoạn, trừ có hướng tiếp cận thay hợp lý - Kiểm tra tài liệu: mục tiêu kiểm tra tài liệu cho phép tổ chức chứng nhận hiểu ISMS ngữ cảnh sách an ninh tổ chức, đối tượng tiếp cận việc quản lý rủi ro Nó phục vụ tham chiếu hiệu chuẩn bị cho việc kiểm tra thứ hai hội để đánh giá chuẩn bị tổ chức cho việc kiểm tra - Kiểm tra thực hiện: việc kiểm tra thực hướng dẫn phân tổng kết từ báo cáo việc kiểm tra tài liệu Tổ chức chứng nhận phác thảo chương trình kiểm tra dựa tổng kết đó, sau bắt đầu việc kiểm tra thực Việc kiểm tra phải tiến hành tổ chức nơi có trụ sở ISMS Tiếp tục cải tiến 17 ...Câu 3: Định nghĩa sách ATTT? Tại lại quan trọng? Phân tích lý • Định nghĩa: o Chính sách ATTT tập hợp thị hướng dẫn ATTT Chính sách an tồn bảo mật thông tin tập hợp điều luật, quy định... hoạch quản lý rủi ro: kế hoạch quản lý rủi ro chứa đựng tất thông tin yêu cầu cho việc thực thi công việc quản lý, trách nhiệm, tên chi phí, quản lý sách ưu tiên - Hướng dẫn: phải thực kế hoạch quản. .. lại cách quản lý đầu tư công nghệ thông tin hợp đồng, thỏa thuận mức dịch vụ (SLA), ý tưởng sách • Đạt cài đặt: o Đề cập tới lịch trình chuyển giao công nghệ o Đưa thiết kế bản:  Xây dựng, kiểm