1. Trang chủ
  2. » Giáo Dục - Đào Tạo

Hệ thống quản lý an toàn thông tin (ISMS) theo ISO 27001 2005

24 174 0

Đang tải... (xem toàn văn)

Tài liệu hạn chế xem trước, để xem đầy đủ mời bạn chọn Tải xuống

THÔNG TIN TÀI LIỆU

Nội dung

Hệ thống Quản lý An tồn Thơng Tin (ISMS) theo ISO 27001:2005 Cách tiếp cận & áp dụng thực tế Trịnh Tuấn Dũng Gð Chứng nhận Bureau Veritas Certification VN Hà Nội, Security World – 24 & 25 tháng năm 2009 Bureau Veritas Certification Vietnam ISMS Security world – 25 March 2009 Nội dung Nhu cầu thực tế & giới thiệu tiêu chuẩn Quốc tế Hệ thống Quản lý An tồn Thơng tin (ISMS) Các bước thực ISO 27001:2005 – Cách tiếp cận áp dụng thực tế Ích lợi Bureau Veritas Certification Vietnam ISMS Security world – 25 March 2009 NHU CẦU CẦN CĨ CỦA HT AN TỒN THƠNG TIN Bureau Veritas Certification Vietnam ISMS Security world – 25 March 2009 Nhu cầu cần có tiêu chuẩn ♦ Trước năm 1970, cơng nghệ ATTT => Chính phủ, Quân sự, hay Ngân hàng ♦ Internet kinh doanh mạng “on-line”, ATTT => nhận dạng, chứng thực, quản lý người sử dụng… ♦ Pháp luật Chữ ký ñiện tử tạo ñiều kiện cho việc phát triển ebusiness, e-commerce ♦ Mọi người cần niềm tin thực có hiệu lực => HTQL ATTT Bureau Veritas Certification Vietnam ISMS Security world – 25 March 2009 Các HTQL nhằm cải tiến & cung cấp lòng tin ♦ ðảm bảo chất lượng sản phẩm & thoả mãn khách hàng => ISO 9001 ♦ Bảo vệ môi trường sống cho cộng ñồng => ISO 14001 … ♦ ðảm bảo Sức khoẻ, an tồn người lao động => OHSAS 18001 ♦ ðảm bảo vệ sinh thực phẩm => ISO 22000 ♦ Bảo mật thông tin liên lạc – loại tài sản ñặc thù => ??? ♦ HTQL ATTT Bureau Veritas Certification Vietnam ISMS Security world – 25 March 2009 Lịch sử tiêu chuẩn Bureau Veritas Certification Vietnam ISMS Security world – 25 March 2009 Bộ tiêu chuẩn ISO 27000 JTC1 – SC 27 IT - ISMS – Nguyên tắc từ vựng IT – Security Technique ISO ISO Yêu cầu cho tổ chức 27006 27006 ñánh giá & :2007 :2007 chứng nhận ISO ISO 19011 19011 Hướng dẫn ñánh giá chung HTQL ISO/ FCD 27000 ISO ISO 27001 27001 :: 2005 2005 IT - ISMS - Hướng dẫn áp dụng ISO ISO 27002: 27002: 2005 2005 ISO ISO 27005 27005 :2008 :2008 IT – Security Technique Quản lý rủi ro IT - ISMS – Các yêu cầu ISO/ FCD 27004 IT - ISMS – ðo lường IT – Security Technique - Qui ISO/ CD 27003 … 27011, 12, 33 part 1-7 * 29100, 101, 150 tắc Thực hành ISMS (ISO 17799 :2005 & 2007) Bureau Veritas Certification Vietnam ISMS Security world – 25 March 2009 Xu hướng phát triển Bộ tiêu chuẩn ISO 27000 ♦ Phát triển hoàn thiện tiêu chuẩn bản: 27000 - Cơ sở, từ vựng, 27004 – ðo lường ♦ Phát triển hoàn thiện tiêu chuẩn Hướng dẫn (chung ñặc thù): 27003 – Áp dụng, 27007 – ðánh giá, 27011 – Telecomunication, 27012 – E Government, 27032 Cybersecurity ♦ ðưa kỹ thuật bảo mật cho mạng – IT network: Bộ tiêu chuẩn 27033-1 27033-7 Nguồn: ISO/JTC1/SC27 Bureau Veritas Certification Vietnam ISMS Security world – 25 March 2009 GIỚI THIỆU ISO 27001:2005 & CÁC BƯỚC ÁP DỤNG THỰC TẾ Bureau Veritas Certification Vietnam ISMS Security world – 25 March 2009 Thơng tin gì? ðịnh nghĩa: THÔNG TIN loại tài sản, giống tài sản kinh doanh quan trọng khác, thông tin có giá trị tổ chức ñó cần ñược BẢO VỆ cách hợp lý (ISO/IEC 17799:2000) Thơng tin có th : ðược tạo ðược chuyển giao Bị phá huỷ ðược xử lý Lưu trữ ðược sử dụng Bị sửa ñổi Bureau Veritas Certification Vietnam ISMS Security world – 25 March 2009 Bị thất lạc 10 An tồn thơng tin gì? CIA (Confidential-Integrity-Availability): TÍNH BẢO MẬT: Thơng tin khơng sẵn có khơng nên ñể lộ cho cá nhân, tổ chức, ñối tượng chưa ñược uỷ quyền Các tổ chức cần ñạt ñược cân bằng… Tính tồn vẹn TÍNH TỒN VẸN: Thơng tin bảo vệ giữ gìn trọn vẹn TÍNH SẴN CĨ: Ln sẵn sàng sẵn có sử dụng cần cho đối tượng uỷ quyền Tính sẵn có Tính bảo mật (ISO/IEC 27001:2005 – Các u cầu) “Sự trì thuộc tính: tính bảo mật, tính tồn vẹn tính sẵn có thơng tin; ngồi ra, thuộc tính khác tính xác thực, trách nhiệm giải trình, tính thừa nhận tính đáng tin cậy liên quan” Bureau Veritas Certification Vietnam ISMS Security world – 25 March 2009 11 Hệ thống quản lý An tồn thơng tin - ISMS gì? ng h t H lý n u q ISMS ð nh nghĩa: “Hệ thống quản lý an tồn thơng tin (ISMS) phần hệ thống quản lý tổng thế, dựa cách tiếp cận theo rủi ro kinh doanh, ñể thiết lập, thực hiện, ñiều hành, giám sát, xem xét, trì cải tiến việc bảo mật thông tin” Ghi chú: hệ thống quản lý bao gồm: cấu trúc tổ chức, sách, hoạt ñộng hoạch ñịnh, trách nhiệm, việc thực hành, thủ tục, qui trình nguồn lực.” (ISO 27001:2005 cl 3.7) Nhưng lợi ích có gì? Bureau Veritas Certification Vietnam ISMS Security world – 25 March 2009 12 Giới thiệu ISO 27001:2005 Thiết lập hệ thống ISMS Plan Do Các bên hữu quan Mong muốn yêu cầu An tồn thơng tin Thực điều hành hệ thống ISMS Chu kỳ phát triển, trì cải tiến Act Duy trì cải tiến hệ thống ISMS Check Giám sát ñánh giá hệ thống ISMS Bureau Veritas Certification Vietnam ISMS Security world – 25 March 2009 Các bên hữu quan An tồn thơng tin quản lý 13 Giới thiệu ISO 27001:2005 ► Hệ thống quản lý an tồn thơng tin Phụ lục A bao gồm : 4.1 Các yêu cầu tổng quát ► 4.2 Thiết lập quản lý hệ thống ISMS 10 11 12 11 phần: ► ðánh giá nội hệ thống ISMS ► Xem xét lãnh đạo hệ thống ISMS Chính sách ISMS Cơ cấu tổ chức ISMS Quản lý tài sản Bảo mật nguồn nhân lực Bảo mật môi trường vật lý Quản lý hoạt động truyền thơng Kiểm sốt truy cập Thu nạp, trì phát triển hệ thống thơng tin 13 Quản lý cố ISMS 14 Duy trì liên tục hoạt động kinh doanh 15 Tính tn thủ ► Việc cải tiến ISMS ► 39 mục tiêu kiểm soát ► 132 mục kiểm soát 4.3 Những yêu cầu tài liệu ► Trách nhiệm lãnh ñạo 5.1 Cam kết lãnh ñạo 5.2 Quản lý nguồn lực 8.1 Cải tiến thường xuyên 8.2 Hành ñộng sửa chữa 8.3 Hành động phòng ngừa Bureau Veritas Certification Vietnam ISMS Security world – 25 March 2009 14 ISMS theo ISO 27001:2005 Một số “vấn đề” tồn HTQL vận hành theo tiêu chuẩn quốc tế ISO (9001, 14001, 22000…): ♦ Phức tạp nhiều hệ thống ♦ Tốn giấy, tốn cơng ♦ Hình thức, khơng thực tế ♦ Hiệu Tiêu chuẩn rõ: ♦ Mục 0.1 Tổng quan “Áp dụng ISMS với mức ñộ tuỳ thuộc vào nhu cầu tổ chức, nghĩa tình hu ng đn gi n ch u c u ISMS ñn gi n” ♦ Mục 0.3 Tương thích với HTQL khác: “Tiêu chuẩn quốc tế hồn tồn tương thích vói ISO 9001:2000 ISO 14001:2004 ñể hỗ trợ cho việc áp dụng vận hành tích hợp M t HTQL đ c thi t k thích h p có th tho mãn t t c tiêu chu n này” ♦ Mục 1.2 Áp dụng / Chú thích: “Dùng HTQL hi n có để thoả mãn yêu cầu tiêu chuẩn tốt ña số trường hợp” Bureau Veritas Certification Vietnam ISMS Security world – 25 March 2009 15 Xây dựng ISMS theo ISO 27001:2005 Phạm vi & ranh giới Cơng bố Áp dụng (SOA) Chính Sách ISMS Kế hoạch xử lý rủi ro theo ưu tiên: Xác ñịnh rủi ro KHƠNG chấp nhận hay khơng Loại bỏ (tránh) Chuyển giao Áp dụng mục kiểm sốt Biết & chấp nhận có kiểm sốt Dự tốn mức rủi ro (risk levels) Phương pháp ñánh giá rủi ro Xác ñịnh mối ñe doạ (threat) ðánh giá rủi ro & tác ñộng Xác ñịnh lỗ hổng (vulnerability) Liệt kê, kiểm kê ñánh giá loại tài sản (thông tin) Bureau Veritas Certification Vietnam ISMS Security world – 25 March 2009 16 SO SÁNH VỚI HTQL HIỆN CĨ (ISO 9001:2008) ISO 27001:2005 ► HTQL có (hay ISO 9001:2000) Hệ thống quản lý an toàn thông tin 4.1 Các yêu cầu tổng quát Xem trang trước 4.2 Thiết lập quản lý hệ thống ISMS 4.3 Những yêu cầu tài liệu ► Trách nhiệm lãnh ñạo 5.1 Cam kết lãnh ñạo Bảng so sánh tương ñồng 9001/14001&27001: 5.2 Quản lý nguồn lực ► ðánh giá nội hệ thống ISMS ► Xem xét lãnh ñạo hệ thống ISMS ► Việc cải tiến ISMS 8.1 Cải tiến thường xun 8.2 Hành động sửa chữa 8.3 Hành động phòng ngừa 4.2.3 &4.2.4 5.1 & 5.2 6.2 8.2.2 5.6 8.5.1 8.5.2 8.5.3 Bureau Veritas Certification Vietnam ISMS Security world – 25 March 2009 17 Giới thiệu ISO 27001:2005 olicy P lity a u Q Phụ lục A bao gồm : Giống ISO 90 01 11 phần: 10 15 Chính sách ISMS Cơ cấu tổ chức ISMS T ươn Quản lý tài sản g tự Bảo mật nguồn nhân lực ISO 900 Bảo mật môi trường vật lý Quản lý hoạt động truyền thơng Kiểm sốt truy cập Thu nạp, trì phát triển hệ thống thông tin Quản lý cố ISMS Duy trì liên tục hoạt động kinh doanh Tính tn thủ ► 39 mục tiêu kiểm soát ► 132 biện pháp Kiểm soát với ISO 1n 900 13 14 i so Mớ ► 11 12 to r ted ll ou d a mit om on of rs an ment c is ti lie ve ion tisfac supp mpro o t a sa s, nis is t al i rga e and loyee ntinu goal uality ro p Ou llenc , em al Co Our rket q ve e s r y r ti exc tomer gene ctivit nd ma peti secto a m cus iety in nent ture a at co in our a soc perm nufac rvices ders a a e is a ign m nd s me le ent a s e co sid de ucts b e d and r o r p es P J J pric PRESIDENTE MKT D&D ADQ OPER LOG FIN VTS PLD PLA PLM ALM CONT SPV PROY CMP CORTE EMB FACT CINV ENS ENTR COBR AAR g hưn ACAB Các tổ chức chun mơn Khách hàng Các bên cung cấp thứ Ba Kiểm kê – Có chủ - Phân loại – Nhãn - Qð sử dụng Bureau Veritas Certification Vietnam ISMS Security world – 25 March 2009 18 Giới thiệu ISO 27001:2005 Phụ lục A bao gồm : Nhân viên/nhà thầu/bên thứ – trước/trong/sauHð ► 11 phần: 10 15 Chính sách ISMS ISO Cơ cấu tổ chức ISMS ự gt n Quản lý tài sản ươ Bảo mật nguồn nhân lực T Tương tự ISO 9001 Bảo mật môi trường vật lý Quản lý hoạt động truyền thơng Kiểm sốt truy cập Thu nạp, trì phát triển hệ thống thơng tin Quản lý cố ISMS Duy trì liên tục hoạt động kinh doanh Tính tn thủ ► 39 mục tiêu kiểm soát ► 132 biện pháp Kiểm soát 11 12 13 14 0 Bureau Veritas Certification Vietnam ISMS Security world – 25 March 2009 19 Giới thiệu ISO 27001:2005 Phụ lục A bao gồm : ► 11 phần: 10 15 Chính sách ISMS Cơ cấu tổ chức ISMS Quản lý tài sản Bảo mật nguồn nhân lực Bảo mật môi trường vật lý Quản lý hoạt động truyền thơng Kiểm sốt truy cập Thu nạp, trì phát triển hệ thống thông tin Quản lý cố ISMS Duy trì liên tục hoạt động kinh doanh Tính tn thủ ► 39 mục tiêu kiểm soát ► 132 biện pháp Kiểm soát 11 12 13 14 Bureau Veritas Certification Vietnam ISMS Security world – 25 March 2009 20 ÍCH LỢI Bureau Veritas Certification Vietnam ISMS Security world – 25 March 2009 21 Lợi ích an tồn thơng tin ♦Bảo vệ tài sản thông tin cách ♦Thành lập tảng vững thích hợp ♦ Kiểm sốt dựa rủi ro ♦ Không bị Thiếu / Thừa ♦Lợi cạnh tranh cho sách bảo mật thơng tin ♦Là chứng thấy ñược thực hành ñược áp dụng cho bên quan tâm: ♦Sự tuân thủ pháp luật ♦ Các khách hàng thương mại ♦Hình ảnh ♦ Khách hàng người sử dụng cuối ♦ ðối với nhân viên (kiểm toán) ♦ ðối với quan quản lý ♦Lợi nhuận Bureau Veritas Certification Vietnam ISMS Security world – 25 March 2009 22 BUREAU VERITAS CERTIFICATION VIETNAM ► Phát hành 2000 Giấy chứng nhận phù hợp với tiêu chuẩn quốc tế cho HTQL ► Phù hợp ISO 17021:2006 & ñược chuyển thành Trung tâm chứng nhận (ICC) từ tháng năm 2008 Quyết ñịnh chứng nhận với công nhận UKAS & ANAB Kịp thời với nhu cầu khách hàng ► Có chuyên gia ñánh giá người Việt Nam ► Khách hàng tiêu biểu Việt Nam ISO 27001:2005–UKAS công nhận YKK BKIS Bureau Veritas Certification Vietnam ISMS Security world – 25 March 2009 23 Bureau Veritas Certification Vietnam ISMS Security world – 25 March 2009 24 ... giá hệ thống ISMS Bureau Veritas Certification Vietnam ISMS Security world – 25 March 2009 Các bên hữu quan An tồn thơng tin quản lý 13 Giới thiệu ISO 27001:2005 ► Hệ thống quản lý an toàn thông. .. tin cậy liên quan” Bureau Veritas Certification Vietnam ISMS Security world – 25 March 2009 11 Hệ thống quản lý An tồn thơng tin - ISMS gì? ng h t H lý n u q ISMS ð nh nghĩa: Hệ thống quản lý. .. thiệu ISO 27001:2005 Thiết lập hệ thống ISMS Plan Do Các bên hữu quan Mong muốn u cầu An tồn thơng tin Thực ñiều hành hệ thống ISMS Chu kỳ phát triển, trì cải tiến Act Duy trì cải tiến hệ thống

Ngày đăng: 12/09/2019, 11:35

TỪ KHÓA LIÊN QUAN

TÀI LIỆU CÙNG NGƯỜI DÙNG

  • Đang cập nhật ...

TÀI LIỆU LIÊN QUAN