1. Trang chủ
  2. » Giáo Dục - Đào Tạo

Trình bày về Hệ thống quản trị an toàn (ISMS) của doanh nghiệp và cho ví dụ minh họa.

17 307 3

Đang tải... (xem toàn văn)

Tài liệu hạn chế xem trước, để xem đầy đủ mời bạn chọn Tải xuống

THÔNG TIN TÀI LIỆU

Thông tin cơ bản

Định dạng
Số trang 17
Dung lượng 445,24 KB

Nội dung

Trình bày về Hệ thống quản trị an toàn (ISMS) của doanh nghiệp và cho ví dụ minh họa. Thông tin là một tài sản, giống như các tài sản nghiệp vụ quan trọng khác, thông tin có giá trị với doanh nghiệp và do đó luôn cần được bảo vệ. Rủi ro liên quan đến tài sản thông tin của một tổ chức cần phải được giải quyết và để đạt được an toàn thông tin đòi hỏi phải quản lý rủi ro, bao gồm rủi ro từ các mối đe dọa liên quan đến vật lý, con người và công nghệ đối với tất cả các hình thức thông tin trong tổ chức hoặc được sử dung bởi tổ chức. Việc áp dụng một hệ thống ISMS là một quyết định chiến lược cho một tổ chức và điều cần thiết là quyết định này được tích hợp nhuần nhuyễn, có mở rộng và cập nhật phù hợp với nhu cầu của tổ chức. 1. Các khái niệm 1.1. Hệ thống quản lý Hệ thống quản lý là “Tập hợp các yếu tố có liên quan hoặc tương tác lẫn nhau của tổ chức để thiết lập chính sách, mục tiêu và các quá trình để đạt được các mục tiêu đó. Một hệ thống quản lý có thể giải quyết một hay nhiều lĩnh vực, ví dụ quản lý chất lượng; quản lý tài chính hoặc quản lý môi trường. Các yếu tố của hệ thống quản lý chất lượng thiết lập cơ cấu, vai trò và trách nhiệm, việc hoạch định, vận hành, chính sách, thực hành, quy tắc, niềm tin, mục tiêu của tổ chức và các quá trình để đạt được những mục tiêu đó. Phạm vi của hệ thống quản lý có thể bao gồm toàn bộ tổ chức, các chức năng cụ thể được nhận biết trong tổ chức, các bộ phận cụ thể được nhận biết của tổ chức, hoặc một hay nhiều chức năng xuyên suốt một nhóm tổ chức. (TCVNISO90002015) 1.2. An toàn thông tin Mọi sự kiện đã được xác định trong một hệ thống, dịch vụ hay trạng thái mạng chỉ ra khả năng vi phạm chính sách an toàn thông tin, sự thất bại của hệ thống bảo vệ, hoặc một vấn đề chưa biết gây ảnh hưởng đến an toàn thông tin. (TCVN ISOIEC 27001:2009) 1.3. Hệ thống quản lý an toàn thông tin (Information Security Management System ISMS) Hệ thống quản lý an toàn thông tin là một phần của hệ thống quản lý toàn diện, dựa trên các rủi ro có thể xuất hiện trong hoạt động của tổ chức để thiết lập, triển khai, điều hành, giám sát, soát xét, duy trì và cải tiến an toàn thông tin. CHÚ THÍCH: Hệ thống quản lý toàn diện bao gồm cơ cấu, chính sách, kế hoạch hoạt động, trách nhiệm, quy định, thủ tục, quy trình và tài nguyên của tổ chức. (TCVN ISOIEC 27001:2009) 2. Thiết lập và quản lý hệ thống ISMS

TRƯỜNG ĐẠI HỌC THƯƠNG MẠI KHOA HTTTKT & TMĐT BÁO CÁO THẢO LUẬN An tồn bảo mật thơng tin Đề tài: Trình bày Hệ thống quản trị an tồn (ISMS) doanh nghiệp cho ví dụ minh họa Lớp HP: 1920eCIT0921 Thành viên nhóm: Nguyễn Lưu Hà Linh Trần Hải Yến Hà Nội, 2019 Mục Lục LỜI MỞ ĐẦU Thông tin tài sản, giống tài sản nghiệp vụ quan trọng khác, thông tin có giá trị với doanh nghiệp ln cần bảo vệ Rủi ro liên quan đến tài sản thông tin tổ chức cần phải giải để đạt an tồn thơng tin đòi hỏi phải quản lý rủi ro, bao gồm rủi ro từ mối đe dọa liên quan đến vật lý, người công nghệ tất hình thức thơng tin tổ chức sử dung tổ chức Việc áp dụng hệ thống ISMS định chiến lược cho tổ chức điều cần thiết định tích hợp nhuần nhuyễn, có mở rộng cập nhật phù hợp với nhu cầu tổ chức Các khái niệm 1.1 Hệ thống quản lý Hệ thống quản lý “Tập hợp yếu tố có liên quan tương tác lẫn tổ chức để thiết lập sách, mục tiêu q trình để đạt mục tiêu Một hệ thống quản lý giải hay nhiều lĩnh vực, ví dụ quản lý chất lượng; quản lý tài quản lý mơi trường Các yếu tố hệ thống quản lý chất lượng thiết lập cấu, vai trò trách nhiệm, việc hoạch định, vận hành, sách, thực hành, quy tắc, niềm tin, mục tiêu tổ chức trình để đạt mục tiêu Phạm vi hệ thống quản lý bao gồm tồn tổ chức, chức cụ thể nhận biết tổ chức, phận cụ thể nhận biết tổ chức, hay nhiều chức xuyên suốt nhóm tổ chức (TCVN-ISO-9000-2015) 1.2 An tồn thơng tin Mọi kiện xác định hệ thống, dịch vụ hay trạng thái mạng khả vi phạm sách an tồn thơng tin, thất bại hệ thống bảo vệ, vấn đề chưa biết gây ảnh hưởng đến an tồn thơng tin (TCVN ISO/IEC 27001:2009) 1.3 Hệ thống quản lý an toàn thông tin (Information Security Management System ISMS) Hệ thống quản lý an tồn thơng tin phần hệ thống quản lý toàn diện, dựa rủi ro xuất hoạt động tổ chức để thiết lập, triển khai, điều hành, giám sát, soát xét, trì cải tiến an tồn thơng tin CHÚ THÍCH: Hệ thống quản lý tồn diện bao gồm cấu, sách, kế hoạch hoạt động, trách nhiệm, quy định, thủ tục, quy trình tài nguyên tổ chức (TCVN ISO/IEC 27001:2009) Thiết lập quản lý hệ thống ISMS 2.1 Thiết lập hệ thống ISMS Để thiết lập hệ thống ISMS, tổ chức cần thực sau: a) Xác định phạm vi giới hạn hệ thống ISMS theo đặc thù công việc, tổ chức, địa điểm, tài sản công nghệ Khi loại trừ biện pháp quản lý khỏi phạm vi áp dụng cần phải đưa lý thông tin chi tiết b) Xây dựng hoạch định sách ISMS theo đặc thù cơng việc, tổ chức, địa điểm, tài sản cơng nghệ Chính sách này: 1) bao gồm khuôn khổ để xây dựng mục tiêu thiết lập định hướng nguyên tắc chung cho hành động đảm bảo an toàn thông tin; 2) tuân thủ quy định pháp lý, yêu cầu nghiệp vụ cam kết an toàn thơng tin có; 3) thiết lập trì hệ thống ISMS phần chiến lược quản lý rủi ro chung tổ chức; 4) thiết lập tiêu chí xác định rủi ro ước lượng; 5) cần phải ban quản lý phê duyệt CHÚ THÍCH: tiêu chuẩn này, sách ISMS xem xét danh mục đầy đủ sách an tồn thơng tin Các sách mơ tả tài liệu c) Xác định phương pháp tiếp cận đánh giá rủi ro tổ chức 1) Xác định hệ phương pháp đánh giá rủi ro phù hợp với hệ thống ISMS quy định, luật pháp, yêu cầu cam kết có cần phải tuân thủ 2) Xây dựng tiêu chí cho việc chấp nhận rủi ro vạch rõ mức rủi ro chấp nhận Hệ phương pháp đánh giá rủi ro lựa chọn phải đảm bảo đánh giá rủi ro đưa kết so sánh tái tạo CHÚ THÍCH: Có nhiều hệ phương pháp đánh giá rủi ro khác Ví dụ hệ phương pháp đánh giá rủi ro nêu tài liệu ISO/IEC TR 13335-3 “Information technology - Guidelines for the management of IT Security - Techniques for the management of IT Security " d) Xác định rủi ro 1) Xác định tất tài sản phạm vi hệ thống ISMS đối tượng quản lý tài sản 2) Xác định mối đe doạ tài sản 3) Xác định điểm yếu bị khai thác mối đe doạ 4) Xác định tác động làm tính chất bí mật, tồn vẹn sẵn sàng tài sản e) Phân tích ước lượng rủi ro 1) Đánh giá ảnh hưởng tới hoạt động tổ chức gây cố an tồn thơng tin, ý đến hậu việc tính bảo mật, tồn vẹn hay sẵn sàng tài sản 2) Đánh giá khả thực tế xảy cố an tồn thơng tin bắt nguồn từ mối đe dọa điểm yếu dự đoán Đồng thời đánh giá tác động tới tài sản biện pháp bảo vệ thực 3) Ước đoán mức độ rủi ro 4) Xác định rủi ro chấp nhận hay phải có biện pháp xử lý dựa tiêu chí chấp nhận rủi ro thiết lập 4.2.1 c)2 f) Xác định đánh giá lựa chọn cho việc xử lý rủi ro Các hành động thực bao gồm: 1) áp dụng biện pháp quản lý thích hợp; 2) chấp nhận rủi ro với điều kiện chúng hoàn tồn thỏa mãn sách tiêu chí chấp nhận rủi ro tổ chức; 3) tránh rủi ro; 4) chuyển giao rủi ro bên tham gia khác, bảo hiểm, nhà cung cấp g) Lựa chọn mục tiêu quản lý biện pháp quản lý để xử lý rủi ro Các mục tiêu quản lý biện pháp quản lý phải lựa chọn thực để đáp ứng yêu cầu xác định trình đánh giá rủi ro xử lý rủi ro Việc lựa chọn phải xem xét đến tiêu chí chấp nhận rủi ro yêu cầu pháp lý, quy định cam kết phải tuân thủ h) Trình ban quản lý phê chuẩn rủi ro tồn đọng đề xuất i) Trình ban quản lý cho phép triển khai vận hành hệ thống ISMS j) Chuẩn bị thông báo áp dụng Thông báo áp dụng hệ thống ISMS bao gồm: 1) mục tiêu quản lý biện pháp quản lý lựa chọn lý cho lựa chọn này; 2) mục tiêu quản lý biện pháp quản lý thực hiện; 3) mục tiêu quản lý biện pháp quản lý loại trừ giải trình cho việc loại trừ này; 2.2 Triển khai điều hành hệ thống ISMS Quá trình triển khai điều hành hệ thống ISMS cần thực sau: a) Lập kế hoạch xử lý rủi ro xác định hành động quản lý thích hợp, tài nguyên, trách nhiệm mức độ ưu tiên quản lý rủi ro an tồn thơng tin b) Triển khai kế hoạch xử lý rủi ro nhằm đạt mục tiêu quản lý xác định bao gồm việc xem xét kinh phí đầu tư phân bổ vai trò, trách nhiệm c) Triển khai biện pháp quản lý lựa chọn để đáp ứng mục tiêu quản lý đ) Xác định cách đánh giá hiệu lực biện pháp quản lý nhóm biện pháp quản lý lựa chọn phương pháp đánh giá sử dụng việc đánh giá hiệu lực biện pháp quản lý nhằm tạo kết so sánh tái tạo CHÚ THÍCH: Việc đánh giá hiệu lực biện pháp quản lý lựa chọn cho phép người quản lý nhân viên xác định biện pháp quản lý đạt mục tiêu quản lý theo kế hoạch e) Triển khai chương trình đào tạo nâng cao nhận thức f) Quản lý hoạt động hệ thống ISMS g) Quản lý tài nguyên dành cho hệ thống ISMS h) Triển khai thủ tục biện pháp quản lý khác có khả nhanh chóng phát kiện an tồn thơng tin phản ứng với cố an tồn thơng tin 2.3 Giám sát soát xét hệ thống ISMS Tổ chức thực hành động sau đây: a) Tiến hành giám sát, soát xét thủ tục biện pháp quản lý khác nhằm: 1) nhanh chóng phát lỗi kết xử lý; 2) nhanh chóng xác định cơng, lỗ hổng cố an tồn thông tin; 3) cho phép ban quản lý xác định hoạt động an tồn thơng tin giao cho người thực công nghệ thông tin thực mong muốn; 4) hỗ trợ phát kiện an tồn thơng tin ngăn chặn sớm cố an tồn thơng tin cách sử dụng dấu hiệu cần thiết; 5) xác định hiệu lực hành động xử lý vi phạm an tồn thơng tin thực b) Thường xuyên soát xét hiệu lực hệ thống ISMS (bao gồm việc đáp ứng sách mục tiêu quản lý ISMS, soát xét việc thực biện pháp quản lý an tồn thơng tin) xem xét đến kết kiểm tốn an tồn thơng tin, cố xảy ra, kết đánh giá hiệu lực, đề xuất thông tin phản hồi thu thập từ bên liên quan c) Đánh giá hiệu lực biện pháp quản lý để xác minh yêu cầu an tồn thơng tin đáp ứng d) Soát xét đánh giá rủi ro tiến hành theo kế hoạch soát xét rủi ro tồn đọng mức độ rủi ro chấp nhận Trong lưu ý thay đổi trong: 1) tổ chức; 2) công nghệ; 3) mục tiêu trình nghiệp vụ; 4) mối đe dọa an tồn thơng tin xác định; 5) hiệu lực biện pháp quản lý thực hiện; 6) kiện bên ngồi, thay đổi mơi trường pháp lý hay quy định, thay đổi nghĩa vụ hợp đồng, thay đổi hoàn cảnh xã hội e) Thực việc kiểm toán nội hệ thống ISMS cách định kỳ CHÚ THÍCH: Kiểm tốn nội đơi cịn gọi kiểm tốn bên thứ thực tổ chức đại diện tổ chức f) Thực soát xét ban quản lý hệ thống ISMS cách thường xuyên để đảm bảo phạm vi đặt phù hợp xác định cải tiến cần thiết cho hệ thống ISMS g) Cập nhật kế hoạch bảo đảm an tồn thơng tin theo sát thay đổi tình hình thực tế thu qua hoạt động giám sát đánh giá h) Ghi chép, lập tài liệu hành động kiện có khả ảnh hưởng đến hiệu lực hiệu suất hệ thống ISMS 2.4 Duy trì cải tiến hệ thống ISMS Tổ chức cần thường xuyên thực hiện: a) Triển khai cải tiến xác định cho hệ thống ISMS b) Tiến hành hành động khắc phục phịng ngừa thích hợp Vận dụng kinh nghiệm có tham khảo từ tổ chức khác c) Thông báo thống với bên liên quan hành động cải tiến hệ thống ISMS d) Đảm bảo việc cải tiến phải đạt mục tiêu đặt (TCVN ISO/IEC 27001:2009) Lợi ích triển khai áp dụng ISMS - Đảm bảo ATTT tổ chức, đối tác khách hàng, giúp cho hoạt động tổ chức ln thơng suốt an tồn - Giúp nhân viên tuân thủ việc đảm bảo ATTT hoạt động nghiệp vụ thường ngày; Các cố ATTT người dùng dây hạn chế tối đa nhân viên đào tạo, nâng cao nhận thức ATTT - Giúp hoạt động đảm bảo ATTT trì cải tiến Các biện pháp kỹ thuật sách tuân thủ xem xét, đánh giá, đo lường hiệu cập nhật định kỳ - Đảm bảo hoạt động nghiệp vụ tổ chức không bị gián đoạn cố liên quan đến ATTT - Nâng cao uy tín tổ chức, tăng sức cạnh tranh, tạo lòng tin với khách hàng, đối tác, thúc đẩy q trình tồn cầu hóa tăng hội hợp tác quốc tế *Tại ISMS lại quan trọng Rủi ro liên quan đến tài sản thông tin tổ chức cần phải giải Đạt an tồn thơng tin địi hỏi phải quản lý rủi ro, bao gồm rủi ro từ mối đe dọa liên quan vật lý, người cơng nghệ tất hình thức thơng tin tổ chức sử dụng tổ chức Việc áp dụng hệ thống ISMS trông đợi định chiến lược cho tổ chức điều cần thiết định tích hợp nhuần nhuyễn, có mở rộng cập nhật phù hợp với nhu cầu tổ chức Việc thiết kế thực hệ thống ISMS tổ chức bị ảnh hưởng nhu cầu mục tiêu tổ chức, yêu cầu an ninh, quy trình kinh doanh áp dụng, quy mơ cấu trúc tổ chức Thiết kế hoạt động hệ thống ISMS cần phản ánh lợi ích u cầu an tồn thơng tin tất bên liên quan đến tổ chức bao gồm khách hàng, nhà cung cấp, đối tác kinh doanh, cổ đơng bên thứ ba khác có liên quan Trong giới kết nối với nhau, thông tin quy trình liên quan, hệ thống mạng lưới tài sản kinh doanh quan trọng Tổ chức hệ thống thông tin mạng lưới họ phải đối mặt với mối đe dọa an ninh từ loạt nguồn khác nhau, bao gồm gian lận máy tính, hoạt động gián điệp, phá hoại, hỏa hoạn lũ lụt Thiệt hại cho hệ thống thông tin mạng lưới gây mã độc hại, tin tặc máy tính công từ chối dịch vụ trở nên phổ biến hơn, với nhiều tham vọng ngày tinh vi Hệ thống ISMS quan trọng cho hoạt động nghiệp vụ khu vực công tư Trong ngành nào, hệ thống ISMS tạo động lực hỗ trợ thương mại điện tử cần thiết cho hoạt động quản lý rủi ro Việc kết nối mạng công cộng tư nhân, chia sẻ tài sản thơng tin làm tăng khó khăn việc kiểm sốt truy cập thơng tin xử lý thơng tin Ngồi ra, việc phân tán thiết bị lưu trữ di động có chứa tài sản thơng tin làm giảm hiệu biện pháp kiểm soát truyền thống Khi tổ chức áp dụng hệ thống tiêu chuẩn ISMS, họ có khả thể việc áp dụng cách quán nguyên tắc an tồn thơng tin phù hợp tương ứng cho đối tác kinh doanh bên liên quan khác An tồn thơng tin thường khơng phải lúc tính đến thiết kế phát triển hệ thống thơng tin Mặt khác, an tồn thơng tin thường coi giải pháp kỹ thuật Tuy nhiên, an tồn thơng tin đạt thơng qua phương tiện kỹ thuật có hạn chế khơng có hiệu khơng hỗ trợ quản lý thủ tục phù hợp khn khổ hệ thống ISMS Tích hợp an ninh vào hệ thống thông tin sau triển khai thực tế cồng kềnh tốn Một hệ thống ISMS liên quan đến việc xác định biện pháp kiểm soát đưa yêu cầu cần lập kế hoạch cặn kẽ, chi tiết Ví dụ, kiểm sốt truy cập mặt kỹ thuật (logic), vật lý, hành (quản lý) kết hợp chúng, cung cấp phương tiện để đảm bảo quyền truy cập vào tài sản thơng tin hợp pháp có giới hạn dựa yêu cầu nghiệp vụ an toàn thông tin Việc áp dụng thành công hệ thống ISMS điều quan trọng để bảo vệ tài sản thông tin cho phép tổ chức: a) đảm bảo thơng tin bảo vệ đầy đủ chống lại mối đe dọa liên tục; b) trì khung tổng thể, có cấu trúc để xác định đánh giá rủi ro an tồn thơng tin, lựa chọn áp dụng biện pháp kiểm soát khả dụng, đo lường cải thiện hiệu chúng; c) liên tục cải thiện môi trường kiểm soát; d) tuân thủ pháp luật quy định cách hiệu (TCVN 11238:2015 (ISO/IEC 27000:2014)) Áp dụng hệ thống quản lý an tồn thơng tin theo TCVN ISO/IEC 27001:2009 Công ty CP Netplus NETPLUS thành lập vào cuối năm 2008 với khởi đầu cung cấp dịch vụ giải pháp nội dung số môi trường mạng Qua thời gian phát triển dựa dịch vụ SMS, cơng ty phát triển mạnh sang dịch vụ mạng khác phát triển website, cung cấp Domain, hosting, cung cấp thiết bị dịch vụ liên quan đến văn phòng cảnh báo từ xa NETPLUS công ty tiên phong phát triển hệ thống SMS điều hành, quản lý học tập học sinh công ty lớn cung cấp dịch vụ miền Trung Tây Nguyên, gồm SMS Điều hành, SMS Học tập, SMS Marketing, SMS Cảnh báo… Các đối tác, khách hàng NetPlus bao gồm hệ thống trường THCS, trường Mầm non, trường đại học, cao đẳng, trung tâm đào tạo Đà Nẵng; Vietnam Airlines Miền Trung; Trung tâm khí tượng thuỷ văn Trung Trung nhà cung cấp mạng di động, viễn thông, v.v Năm 2014, biết sách hỗ trợ doanh nghiệp Chương trình quốc gia suất chất lượng, NETPLUS đăng ký tham gia nhận hỗ trợ từ Chương trình để triển khai áp dụng hệ thống quản lý an tồn thơng tin theo tiêu chuẩn TCVN ISO/IEC 27001:2009 Trong suốt trình triển khai dự án, NETPLUS nhóm chuyên gia tư vấn Viện Năng suất Việt Nam hướng dẫn, đào tạo đạt kết thiết thực 4.1 Hiện trạng đảm bảo an tồn thơng tin q trình kinh doanh NETPLUS trước triển khai dự án hỗ trợ: Mặc dù lãnh đạo cơng ty có quan tâm đến vấn đề đảm bảo an tồn thơng tin trình cung cấp dịch vụ tin nhắn SMS, vừa để đảm bảo đáp ứng yêu cầu khách hàng sử dụng dịch vụ tin nhắn, vừa đáp ứng yêu cầu pháp luật liên quan đến loại dịch vụ chưa có phương pháp tiếp cận bản, có tính hệ thống, nên cơng ty có nguy đối diện với rủi ro phương hại đến tài sản thơng tin khách hàng cơng ty Ví dụ: tổng thời gian bị gián đoạn kinh doanh có nguyên nhân liên quan đến rủi ro, mối đe dọa điểm yếu hệ thống (như hacker công hệ thống máy chủ để cung cấp dịch vụ SMS, điện nguồn trì hệ thống máy chủ…) năm trước chưa đáp ứng yêu cầu khách hàng tính liên tục kinh doanh an tồn thơng tin (tính ngày), khách hàng có phàn nàn, khiếu nại Bên cạnh đó, đối chiếu với yêu cầu tiêu chuẩn TCVN ISO/IEC 27001:2009, mức độ đáp ứng công ty thời điểm bắt đầu khởi động áp dụng ISO/IEC 27001:2009 thấp (đáp ứng đầy đủ yêu cầu: 0,85%; đáp ứng phần: 17,80%, chưa đáp ứng: 81,36% tính tổng số 118 hạng mục/ yêu cầu tiêu chuẩn) Hình 1: Kết đánh giá thực trạng mức độ đáp ứng yêu cầu TCVN ISO/IEC 27001:2009 4.2 Quá trình triển khai dự án xây dựng áp dụng hệ thống an tồn thơng tin TCVN ISO/IEC 27001 NETPLUS 4.2.1 Lý triển khai dự án Xét tổng thể, nhiều tổ chức, doanh nghiệp đặc biệt lĩnh vực có nguy bị cơng cao ngân hàng, tài chính, dầu khí, phát triển phần mềm… có đầu tư định người, thiết bị, công nghệ, giải pháp công nghệ thơng tin nhằm phịng tránh xử lý rủi ro, cố an tồn thơng tin để tự bảo vệ tài sản thơng tin khách hàng Tuy nhiên, nhiều doanh nghiệp quy mơ nhỏ vừa điều cịn sơ sài hoàn toàn chưa quan tâm Điều dẫn đến chủ quan, thiếu ý thức, lỏng lẻo việc chủ động phòng tránh rủi ro trình sử dụng tài sản thơng tin tổ chức, tạo lỗ hổng để tin tặc khai thác, công hệ thống thông tin cố ATTT xảy thực biện pháp thụ động để xử lý cố Dịch vụ tin nhắn SMS Công ty CP NETPLUS lựa chọn đưa vào phạm vi áp dụng thử nghiệm hệ thống quản lý an tồn thơng tin theo TCVN ISO/IEC 27001:2009 vấn đề đảm bảo an tồn thơng tin loại hình dịch vụ có tầm tác động rộng đến nhiều khách hàng sử dụng dịch vụ Nếu thuộc tính bao gồm Tính bảo mật (Confidential), Tính tồn vẹn (Integrity) Tính sẵn có (Availability) (ký hiệu C-I-A) tài sản thông tin kể NETPLUS lẫn khách hàng dẫn tới tác động xã hội định Đặc biệt, dịch vụ tin nhắn SMS bị lạm dụng khai thác không thẩm quyền ngồi yếu tố thiệt hại kinh tế, tài chính, uy tín…, cịn có tác động xấu mặt trị, trật tự - xã hội 4.2.2 Mục tiêu dự án: Xây dựng mơ hình thử nghiệm áp dụng tiêu chuẩn Hệ thống quản lý an tồn thơng tin theo ISO/IEC 27001:2005 làm quản lý cách chủ động, có tính hệ thống, khoa học, chặt chẽ rủi ro gây tổn thất đến tài sản thông tin doanh nghiệp, ảnh hưởng trực tiếp gián tiếp đến thông tin, tài sản khách hàng sử dụng dịch vụ doanh nghiệp Việc thực tốt tiêu chuẩn giúp doanh nghiệp đáp ứng tốt, đầy đủ yêu cầu pháp luật liên quan đến đảm bảo an tồn thơng tin 4.2.3 Phạm vi áp dụng thời gian triển khai dự án: ISO/IEC 27001:2005 áp dụng cho lĩnh vực kinh doanh Cơng ty, “Q trình cung cấp dịch vụ giá trị gia tăng mạng (tin nhắn SMS)” Thời gian xác định triển khai xây dựng áp dụng hệ thống từ tháng 4/2014 – 11/2014 4.2.4 Phương pháp triển khai: * Vận dụng phương pháp tiếp cận P-D-C-A (Hoạch định-Thực hiện-Kiểm tra-Hành động cải tiến/ điều chỉnh) để vạch Kế hoạch tổng thể dự án Kế hoạch chi tiết bước/ giai đoạn Kế hoạch xây dựng văn bản, Kế hoạch đánh giá nội ; * Khảo sát thực trạng ban đầu để xác định mức độ đáp ứng yêu cầu tiêu chuẩn, từ vạch kế hoạch cụ thể đáp ứng/ bổ sung phần thiếu có chưa đáp ứng yêu cầu tiêu chuẩn; * Thực khóa đào tạo cần thiết theo Kế hoạch dự án để đảm bảo cung cấp đủ nhận thức, kiến thức vấn đề thực hành cần thiết cho việc thiết lập, thực hiện, áp dụng, đánh giá, trì, cải tiến liên tục hệ thống quản lý ATTT; * Triển khai áp dụng hệ thống theo hạng mục giai đoạn Kế hoạch tổng thể dự án; * Đánh giá nội bộ, xem xét, cải tiến hệ thống quản lý ATTT Các nội dung công việc cụ thể Kế hoạch tổng thể triển khai mơ hình thử nghiệm ISO/IEC 27001 kèm theo 4.3 Các kết quả, hiệu đạt sau triển khai dự án xây dựng áp dụng hệ thống an tồn thơng tin TCVN ISO/IEC 27001 NETPLUS 4.3.1 Kết đạt được: * Toàn thể lãnh đạo, cán Công ty đào tạo, hiểu rõ yêu cầu tiêu chuẩn, phương pháp để xây dựng, trì, cải tiến hệ thống quản lý an tồn thơng tin theo ISO/IEC 27001:2005 Với hướng dẫn nhóm chun gia tư vấn, Cơng ty xây dựng, ban hành hệ thống văn hệ thống quản lý ATTT đáp ứng yêu cầu ISO/IEC 27001:2005 tương ứng với phạm vi áp dụng hệ thống trình kinh doanh, cấu tổ chức doanh nghiệp Công ty xây dựng Mục tiêu an tồn thơng tin năm 2014 thực theo dõi, đo lường kết thực mục tiêu đề * Cải thiện đáng kể mức độ đáp ứng yêu cầu tiêu chuẩn TCVN ISO/IEC 27001:2009 đối sánh hai thời điểm: Khi hệ thống quản lý ISMS chưa thiết lập (theo kết đánh giá thực trạng ngày 19/4/2014): mức độ đáp ứng yêu cầu tiêu chuẩn thấp (đáp ứng đầy đủ yêu cầu: 0,85% ; đáp ứng phần: 17,80%, chưa đáp ứng: 81,36% tổng số 118 hạng mục/ yêu cầu tiêu chuẩn) Sau hoàn thành hoạt động đánh giá nội bộ, thực hành động khắc phục, xem xét lãnh đạo hệ thống ISMS: mức độ đáp ứng yêu cầu tiêu chuẩn cải thiện nhiều (đáp ứng đầy đủ yêu cầu: 83,05% ; đáp ứng phần: 16,95%, chưa đáp ứng: 0% tổng số 118 hạng mục/ yêu cầu tiêu chuẩn) (xem Hình 2) Hình 2: Kết đánh giá thực trạng mức độ đáp ứng yêu cầu TCVN ISO/IEC 27001:2009 (sau hoàn thành đánh giá nội bộ) Đến tháng năm 2015, hệ thống tiếp tục trì, vận hành, cải tiến tiếp tục phát huy hiệu quả, giúp Công ty kiểm soát rủi ro thỏa mãn khách hàng tốt 4.3.2 Hiệu dự án: * Nhận thức lãnh đạo CBNV công ty u cầu bảo vệ Tính bảo mật, Tính tồn vẹn Tính sẵn có tài sản thơng tin doanh nghiệp khách hàng sử dụng dịch vụ tin nhắn SMS cải thiện rõ, từ làm tảng cho việc cơng bố thực thi cam kết lãnh đạo doanh nghiệp, nhằm huy động nguồn lực cần thiết để thực trình quản lý, biện pháp kiểm sốt an tồn thơng tin xác định hệ thống * Công ty trang bị phương pháp quản lý theo cách thức có hệ thống dựa tiêu chuẩn quốc tế ISO nói chung ISO/IEC 27001 nói riêng để quản lý, điều hành hoạt động cung cấp dịch vụ công ty theo cách chuyên nghiệp, dựa nguyên lý P-D-C-A, có việc xác định Chính sách, thiết lập Mục tiêu, trình kiểm sốt cần thiết để đảm bảo an tồn thông tin dựa phương pháp tiếp cận đánh giá rủi ro * Kết kinh doanh Công ty chất lượng trình cung cấp dịch vụ cải thiện; đảm bảo tính liên tục q trình kinh doanh; phòng ngừa giảm thiểu rủi ro an tồn thơng tin, tạo lịng tin cho khách hàng đối tác; trì tuân thủ theo yêu cầu pháp luật đảm bảo an tồn thơng tin áp dụng doanh nghiệp 4.3.3 Những thuận lợi, khó khăn, học kinh nghiệm: * Sự cam kết lãnh đạo doanh nghiệp qua việc trực tiếp tham gia vào trình triển khai (kể tham dự khóa đào tạo), đảm bảo sẵn có nguồn lực, thời gian, nhân lực thực kế hoạch xây dựng, áp dụng ISO/IEC 27001; hiệu hoạt động Ban ISO/IEC 27001, có vài cán nịng cốt có am hiểu lĩnh vực CNTT tạo thuận lợi cho trình triển khai Để đảm bảo hiệu quả, tất thành viên Ban ISO/IEC 27001 bắt buộc phải tham dự tất khóa đạo tạo theo kế hoạch thực ISO/IEC 27001 để sau có đủ khả tự thực đào tạo nội cho nhân viên (đào tạo lại, đào tạo nhân viên mới…); * Quy mơ doanh nghiệp nhỏ q trình kinh doanh chọn đưa vào phạm vi áp dụng hệ thống không phức tạp yếu tố thuận lợi để thực xây dựng hệ thống, giai đoạn đánh giá rủi ro an tồn thơng tin Do vậy, việc xác định mục đích, phạm vi triển khai hệ thống điểm xuất phát quan trọng cần ý để đảm bảo thực dự án có hiệu phù hợp với nguồn lực sẵn có doanh nghiệp quy mơ nhỏ; * Kế hoạch triển khai mơ hình thử nghiệm theo ISO/IEC 27001 xây dựng sở vận dụng nguyên lý P-D-C-A (Hoạch định - Thực - Kiểm tra - Cải tiến) Tuy nhiên thời gian hồn tất chu trình cịn hạn chế (trung bình – 10 tháng/ mơ hình/ doanh nghiệp), giai đoạn xây dựng/ thiết lập hệ thống (Hoạch định/ Plan) thực tế từ – tháng, nên thời gian dành cho giai đoạn lại (Thực - Kiểm tra - Cải tiến) cịn hạn chế, doanh nghiệp cần tiếp tục chứng minh cam kết để tiếp tục trì, vận hành, cải tiến thường xuyên hệ thống Vấn đề đảm bảo thực thi quyền sở hữu trí tuệ (Intellectual property rights – IPR): Việc thiết lập, thực thủ tục thích hợp để đảm bảo tuân thủ theo yêu cầu pháp luật, chế định ràng buộc hợp đồng liên quan đến việc sử dụng tài liệu, sản phẩm phần mềm có yêu cầu IPR xem biện pháp kiểm soát theo yêu cầu ISO/IEC 27001:2005 mà tổ chức thực ISMS phải áp dụng Ở Việt Nam, doanh nghiệp đáp ứng đầy đủ yêu cầu này, đặc biệt doanh nghiệp có quy mô vừa, nhỏ nhỏ trang bị, khai thác phần mềm hệ điều hành cho máy tính, phần mềm ứng dụng … có yêu cầu quyền hợp pháp Việc vượt qua thách thức để đáp ứng đầy đủ yêu cầu ISO/IEC 27001 đòi hỏi nỗ lực nhiều bên liên quan, gồm quan quản lý nhà nước IPR việc đảm bảo pháp luật sở hữu trí tuệ thực thi, doanh nghiệp thực ISMS để nhận thức trách nhiệm lợi ích khai thác phần mềm hợp pháp, áp lực từ phía khách hàng, đối tác kinh doanh doanh nghiệp Xây dựng thành công hệ thống quản lý an tồn thơng tin đem lại thay đổi tích cực cho Cơng ty Do đó, việc trì áp dụng, đánh giá, xem xét, cải tiến liên tục hệ thống quản lý ATTT thiết lập, vận hành thời gian đòi hỏi cam kết Lãnh đạo tham gia tồn cán Cơng ty thơng qua hoạt động như: Thường xuyên xem xét, cập nhật hệ thống quản lý để tiếp tục trì hiệu lực, hiệu hệ thống, đặc biệt cập nhật văn pháp luật ATTT, cập nhật phương pháp đánh giá rủi ro ATTT, cập nhật rủi ro (kết hợp mối đe dọa điểm yếu) ATTT; Chú trọng hoạt động đào tạo cho nhân viên phạm vi triển khai hệ thống để trì nhận thức rủi ro ATTT, cập nhật kiến thức, kỹ cần thiết việc áp dụng biện pháp kiểm sốt ATTT phù hợp với sách ATTT doanh nghiệp KẾT LUẬN Hệ thống quản lý ATTT nhu cầu thiết yếu tổ chức, cần đảm bảo ATTT cách toàn diện Xây dựng hệ thống ISMS theo tiêu chuẩn ISO 27001: 2013 giúp hoạt động đảm bảo ATTT tổ chức quản lý chặt chẽ Do tiêu chuẩn ISO 27001 xem xét đảm bảo ATTT nhiều khía cạnh, nên việc xây dựng áp dụng hệ thống địi hỏi phải có tâm lãnh đạo tổ chức phối hợp đồng phận tổ chức việc xây dựng trì hệ thống Những vấn đề khó khăn, cần lưu ý đơn vị bắt tay vào xây dựng hệ thống ISMS là: Nhận thức người dùng tổ chức việc đảm bảo ATTT, đánh giá lợi ích mang lại áp dụng hệ thống ISMS chưa cao; Trách nhiệm xây dựng, trì hệ thống phân cơng khơng phù hợp, đơn vị giao không nhận phối hợp, cộng tác đơn vị khác tổ chức Bên cạnh đó, việc xây dựng nâng cấp hệ thống cần quan tâm lãnh đạo đầu tư nguồn lực thích đáng ... dựng, ban hành hệ thống văn hệ thống quản lý ATTT đáp ứng yêu cầu ISO/IEC 27001:2005 tương ứng với phạm vi áp dụng hệ thống trình kinh doanh, cấu tổ chức doanh nghiệp Công ty xây dựng Mục tiêu an. .. 1.1 Hệ thống quản lý Hệ thống quản lý “Tập hợp yếu tố có liên quan tương tác lẫn tổ chức để thiết lập sách, mục tiêu trình để đạt mục tiêu Một hệ thống quản lý giải hay nhiều lĩnh vực, ví dụ quản. .. kinh doanh doanh nghiệp Xây dựng thành công hệ thống quản lý an tồn thơng tin đem lại thay đổi tích cực cho Cơng ty Do đó, việc trì áp dụng, đánh giá, xem xét, cải tiến liên tục hệ thống quản

Ngày đăng: 09/04/2020, 21:31

TỪ KHÓA LIÊN QUAN

TÀI LIỆU CÙNG NGƯỜI DÙNG

TÀI LIỆU LIÊN QUAN

w