ĐẠI HỌC QUỐC GIA HÀ NỘI TRƯỜNG ĐẠI HỌC CÔNG NGHỆ -o0o - NGUYỄN VĂN ANH NGHIÊN CỨU HỆ THỐNG QUẢN LÝ AN TỒN THƠNG TIN THEO TIÊU CHUẨN ISO 27001 LUẬN VĂN THẠC SĨ Hà nội 11 – 2010 ĐẠI HỌC QUỐC GIA HÀ NỘI TRƯỜNG ĐẠI HỌC CÔNG NGHỆ -o0o - NGUYỄN VĂN ANH NGHIÊN CỨU HỆ THỐNG QUẢN LÝ AN TỒN THƠNG TIN THEO TIÊU CHUẨN ISO 27001 Ngành: Công nghệ thông tin Chuyên ngành: Hệ thống thông tin Mã ngành: 60.48.05 LUẬN VĂN THẠC SĨ CÁN BỘ HƯỚNG DẪN KHOA HỌC PGS.TS.TRỊNH NHẬT TIẾN Hà nội 11 – 2010 MỤC LỤC MỤC LỤC DANH MỤC CÁC BẢNG DANH MỤC CÁC HÌNH VẼ LỜI NÓI ĐẦU Chương 1: TỔNG QUAN VỀ AN TỒN THƠNG TIN 1.1 KHÁI NIỆM VỀ AN TOÀN T 1.2 CÁC NGUY CƠ ĐỐI VỚI AN 1.2.1 Những nguy hữu: 1.2.2 1.3 Nguy tương lai NHU CẦU HỆ THỐNG QUẢ Chương 2: HỆ THỐNG QUẢN LÝ ATTT THEO CHUẨN ISO 27001 16 2.1 2.1.1 GIỚI THIỆU Khái quát 2.1.2 Phạm vi áp dụng 2.1.3 Cách tiếp cận theo quy trình 2.2 MỘT SỐ KHÁI NIỆM 1/ Tài sản 2/ Tính sẵn sàng 3/ Tính bí mật 4/ An tồn thơng tin 5/ Sự kiện an tồn thơng tin 6/ Sự cố an tồn thơng tin 7/ Hệ thống quản lý an tồn thơng tin 8/ Tính tồn vẹn 9/ Rủi ro tồn đọng 10/ Sự chấp nhận rủi ro 11/ Phân tích rủi ro 12/ Đánh giá rủi ro 13/ Quản lý rủi ro 14/ Xử lý rủi ro 15/ Thông báo áp dụng 16/ Tổ chức 2.3 THIẾT LẬP VÀ QUẢN LÝ HỆ THỐ 2.3.1 Thiết lập hệ thống quản lý ATTT 2.3.2 Triển khai điều hành hệ thống quản lý ATTT 2.3.3 Giám sát xem xét hệ thống quản lý ATTT 2.3.4 Duy trì nâng cấp hệ thống quản lý ATTT 2.3.5 Các yêu cầu hệ thống tài liệu 2.3.5.1 2.3.5.2 Biện pháp quản lý tài liệu 2.3.5.3 Biện pháp quản lý hồ sơ 2.4 TRÁCH NHIỆM CỦA BAN QUẢN 2.4.1 Cam kết ban quản lý 2.4.2 Quản lý nguồn lực 2.4.2.1 Cấp phát nguồn lực 2.4.2.2 2.5 KIỂM TRA NỘI BỘ HỆ THỐNG ATTT 33 2.6 BAN QUẢN LÝ XEM XÉT HỆ THỐNG ATTT 34 2.6.1 Khái quát 34 2.6.2 Đầu vào việc xem xét 34 2.6.3 Đầu việc xem xét 35 2.7 NÂNG CẤP HỆ THỐNG QUẢN LÝ ATTT 36 2.7.1 Nâng cấp thường xuyên 36 2.7.2 Hành động khắc phục 36 2.7.3 Hành động phòng ngừa 37 Phụ lục A: Các mục tiêu quản lý biện pháp quản lý 38 Phụ lục B: Nguyên tắc OECD hệ hống ATTT 81 Chương 3: THỬ NGHIỆM SỬ DỤNG CHƢƠNG TRÌNH 84 3.1 ĐẶT VẤN ĐỀ 84 3.2 XÂY DỰNG CHƢƠNG TRÌNH 85 3.2.1 Giải pháp 85 3.2.2 Xác định tài sản người chịu trách nhiệm quản lý .86 3.2.3 Đánh giá mức độ quan trọng tài sản 87 3.2.4 Đánh giá mức độ mối đe dọa 89 3.2.5 Đánh giá mức độ lổ hổng 89 3.2.6 Tính mức độ rủi ro báo cáo đánh giá rủi ro 90 3.2.7 Phòng ngừa rủi ro 90 3.2.8 Mức độ rủi ro chấp nhận đuợc 91 3.3 CÁC GIAO DIỆN CHÍNH .93 KẾT LUẬN 95 TÀI LIỆU THAM KHẢO 97 BẢNG KÝ HIỆU CÁC CHỮ VIẾT TẮT HTQL Hệ thơng quản lý ATTT An tồn thơng tin ISMS Information Security Management System ISO International Organization for Standardization PDCA Plan, Do, Check, Action TC Tổ chức OECD Organisation for Economic Co-operation and Development DANH MỤC CÁC BẢNG Bảng 1.1: Thiệt hại virus gây giới Bảng 1.2: Thống kê virus năm 2007 Việt Nam Bảng 1.3: Tỷ lệ nhiễm virus theo năm Bảng 1.4: Phân bổ loại nguy theo thời gian khu vực Bảng 1.5: Phân bổ loại nguy theo thời gian khả đối phó Bảng A: Các mục tiêu biện pháp quản lý Bảng B: Các ngun tắc OECD mơ hình PDCA Bảng 3.1: Các buớc đánh giá rủi ro Bảng 3.2: Đánh giá tài sản mức độ bảo mật Bảng 3.3: Đánh giá tài sản mức độ toàn vẹn Bảng 3.4: Đánh giá tài sản mức độ sẳn sàng DANH MỤC CÁC HÌNH VẼ Hình 1.1: CIA – Confidentiality, Intergrity, Availability Hình 1.2: Tỷ lệ loai hình cơng Hình 2.1: Áp dụng mơ hình PDCA cho quy trình hệ thống quản lý ATTT Hình 3.1: Thêm mới, chỉnh sửa thơng tin loại tài sản, điều khiển tài liệu hệ thống quản lý ATTT (Add/Modify assets, controls and ISMS document) Hình 3.2: Đánh giá rủi ro (Risk Assessment) Hình 3.3: Phịng ngừa rủi ro (Risk Treatment) Hình 3.4: Mức rủi ro chấp nhận đuợc Hình 3.5: Truy xuất nguồn gốc tài liệu hệ thống quản lý ATTT Hình 3.6: Thêm tài liệu cho hệ thống quản lý ATTT (Add ISMS Document) Hình 3.7: Chỉnh sửa tài liệu hệ thống quản lý ATTT (Edit ISMS Document) Hình 3.8: Màn hình Screen LỜI NĨI ĐẦU Trong bối cảnh có phát triển vũ bão công nghệ thông tin, ngày nhiều tổ chức, đơn vị, doanh nghiệp hoạt động lệ thuộc gần hoàn toàn vào hệ thống mạng máy tính, máy tính, sở liệu Nói cách khác, hệ thống cơng nghệ thông tin sở liệu gặp cố hoạt động đơn vị bị ảnh hưởng nghiêm trọng chí bị tê liệt hoàn toàn Nền kinh tế Việt Nam thời kỳ hội nhập phát triển với trợ giúp đắc lực công nghệ thông tin, bên cạnh Việt Nam phải đối mặt với khó khăn thách thức lớn nguy gây an tồn thơng tin gây đặc biệt liên quan tới đơn vị làm việc trực tiếp đối tác nước ngồi, quan phủ trọng yếu làm ảnh hưởng nghiêm trọng đến phát triển kinh tế, xã hội đất nước Hầu hết tổ chức, doanh nghiệp Việt Nam từ đầu xây dựng hệ thống mạng thường không tuân theo quy tắc chuẩn an tồn thơng tin, lý làm cho hệ thống thơng tin dễ có khả bị tin tặc công Các thống kê cho thấy thời gian vừa qua có khoảng 60% website bộ, ban ngành trực thuộc Chính phủ có tên miền '.gov.vn' bị hacker nước ngồi cơng nắm quyền kiểm sốt, 342 website Việt Nam bị hacker công, 40% website chứng khốn Việt Nam bị hacker lợi dụng chiếm quyền kiểm soát thay đổi kết giao dịch Khi nói đến an tồn thơng tin (ATTT), điều người ta thường nghĩ đến xây dựng tường lửa (Firewall) tương tự để ngăn chặn công xâm nhập bất hợp pháp Cách tiếp cận không hồn tồn chất ATTT khơng đơn sử dụng số công cụ vài giải pháp mà để đảm bảo ATTT cho hệ thống cần có nhìn tổng quát khoa học Giải pháp toàn diện hiệu để giải vấn đề áp dụng Hệ thống quản lý an ninh thông tin ATTT (Information Security Management System) theo tiêu chuẩn ISO 27001 Triển khai ISO 27001 giúp cho đơn vị đầy đủ nguy hệ thống thơng tin phương pháp phân tích rủi ro Trong phương pháp này, tài sản thông tin phân tích để rõ nguy tác động đến, ví dụ: máy tính bị nhiễm virus gây liệu quan trọng, website bị công làm gián đoạn dịch vụ, ổ cứng hệ thống server bị cố, nhân viên tiết lộ thông tin hợp đồng cho đối thủ cạnh tranh Q trình phân tích ngun nhân dẫn tới nguy trên, chẳng hạn: khơng có giải pháp phịng chống virus máy tính, khơng kiểm sốt mã nguồn website, chưa có biện pháp backup liệu, chưa có quy định khơng tiết lộ thơng tin nhân viên Việc áp dụng tiêu chuẩn ATTT theo tiêu chuẩn ISO 27001 làm tăng nhận thức cho đội ngũ cán nhân viên ATTT Xây dựng mơi trường an tồn, có khả miễn dịch trước rủi ro, giảm thiểu nguy người gây Tiêu chuẩn ISO 27001 đề nguyên tắc chung trình thiết kế - xây dựng hệ thống thông tin cách khoa học, giúp cho việc quản lý hệ thống trở nên sáng sủa, an toàn, minh bạch Xây dựng “bức tường người an toàn” (Secure People Wall) tổ chức Một mơi trường thơng tin an tồn, có tác động khơng nhỏ đến việc giảm thiểu chi phí vật chất đầu tư cho ATTT tốn Về lâu dài, việc nhận chứng ISO 27001 lời khẳng định thuyết phục với đối tác, khách hàng mơi trường thơng tin an tồn Tạo điều kiện thuận lợi cho hội nhập môi trường thông tin lành mạnh Điều tác động mạnh đến ưu cạnh tranh tổ chức Trên sở kết phân tích, đánh giá rủi ro hệ thống thông tin dựa hướng dẫn tiêu chuẩn, luận văn tập trung nghiên cứu chủ yếu tiêu chuẩn ISO 27001 để giúp doanh nghiệp, tổ chức xây dựng sách, biện pháp xử lý phù hợp để phòng tránh giảm thiểu tác động rủi ro an ninh thông tin xảy Luận văn đuợc trình bày theo ba chương: Chương 1: Trình bày Tổng quan An tồn Thơng tin, bao gồm khái niệm, nguy cơ, rủi ro việc ATTT, nhu cầu cấp thiết cần phải xây dựng hệ thống quản lý ATTT đáp ứng tiêu chuẩn quốc tế Chương 2: Trình bày Tiêu chuẩn quốc tế ISO 27001, cách tiếp cận tiêu chuẩn ISO 27001 việc đảm bảo ATTT thông qua phân loại nội dung thông tin phương tiện thuộc tài sản nào, chúng có điểm yếu, rủi ro làm để kiểm sốt rủi ro Chương 3: Trình bày thử nghiệm sử dụng chương trình “ISMS-RAT”, phương thức tiếp cận để thực việc đánh giá xây dựng kế hoạch ngăn ngừa rủi ro (Risk Assessment and Risk Treatment Plan) theo cách tiếp cận vấn đề xây dựng hệ thống quản lý an tồn thơng tin chuẩn ISO 27001 83 Chương 3: THỬ NGHIỆM SỬ DỤNG CHƢƠNG TRÌNH 3.1 ĐẶT VẤN ĐỀ Để tạo môi trường với hệ thống máy tính làm việc an tồn việc hiệu tổ chức việc hiểu biết nguy áp dụng phương pháp đánh giá rủi ro cần thiết Bản thân nguy xấu, cần phải cân hậu tiêu cực có rủi ro hội lợi ích tiềm của mang lại Vì vậy, cách tốt để thực việc tuân theo giải pháp đuợc nghiên cứu xác lập, đánh giá lại hệ thống, tập trung vào việc đảm bảo an tồn thơng tin Trên sở luận văn tập trung thử nghiệm chương trình „ISMS–RAT‟ phương thức tiếp cận để thực việc đánh giá xây dựng kế hoạch ngăn ngừa rủi ro (Risk Assessment and Risk Treatment Plan) theo cách tiếp cận vấn đề xây dựng hệ thống quản lý an tồn thơng tin tiêu chuẩn ISO 27001 Chương trình phân chia việc xây dựng hệ thống quản lý ATTT thành nghiệp vụ cụ thể đánh giá mức độ, tầm quan trọng tài sản thông tin, đánh giá rủi ro, kế hoạch phòng ngừa rủi ro, truy xuất nguồn gốc tài liệu vv…Mục đích nhằm hỗ trợ xây dựng hệ thống quản lý ATTT bám sát theo tiêu chuẩn ISO 27001 Chương trình đuợc xây dựng để áp dụng cho tất đối tượng tài sản liên quan đến việc thực thi bảo trì hệ thống quản lý an tồn thơng tin Bám chặt theo cách thức phân loại đối tượng kiểm soát tài liệu hệ thống quản lý an tồn thơng tin theo tiêu chuẩn ISO/ IEC27001 tài liệu sách an tồn thơng tin thơng thường khác 84 3.2 XÂY DỰNG CHƢƠNG TRÌNH 3.2.1 Giải pháp Chương trình đuợc xây dựng theo cách tiếp cận đánh giá rủi ro theo tài sản thông tin quan trọng, bảng sau đưa buớc để thực phương thức đánh giá rủi ro đơn giản: Bảng 3.1: Các buớc đánh giá rủi ro STT Các buớc đánh giá rủi ro Xác định tài sản người quản lý tài sản Đánh giá mức độ quan trọng tài sản Đánh giá mức độ mối đe dọa Đánh giá mức độ lỗ hổng Cách tính rủi ro Đánh giá lựa chọn ngăn ngừa rủi ro lựa chọn điều khiển bảo mật 85 3.2.2 Xác định tài sản ngƣời chịu trách nhiệm quản lý Quản lý phòng ban xác định chuẩn bị danh sách tất tài sản thông tin quan trọng liên quan tới lĩnh vực hoạt động Thông tin tài sản quy nhóm sau:  Tài sản vật lý  Tài sản thông tin  Tài sản phần mềm  Tài sản dịch vụ  Tài sản khác Hình 3.1: Thêm mới, chỉnh sửa thông tin loại tài sản, điều khiển tài liệu hệ thống quản lý ATTT (Add/Modify assets, controls and ISMS document) 86 3.2.3 Đánh giá mức độ quan trọng tài sản Độ quan trọng tài sản gán giá trị từ đến 5, với thấp nhât cao mức độ ảnh hưởng đến tổ chức, việc kinh doanh rủi ro thực xảy ra, tổng hợp yếu tố:  Bảo mật  Toàn vẹn  Sẵn sàng Bảng 3.2 Đánh giá tài sản độ bảo mật Giá trị Phân lớp Công bố công khai Sử dụng nội Giới hạn sử dụng Mật Tuyệt mật Bảng 3.3: Đánh giá tài sản độ toàn vẹn Giá trị Phân lớp Độ toàn vẹn thấp Độ toàn vẹn thấp Độ toàn vẹn trung bình Độ tồn vẹn cao Độ toàn vẹn cao 87 Bảng 3.4: Đánh giá tài sản độ sẳn sàng Giá trị Phân lớp Độ sẳn sàng thấp Độ sẳn sàng thấp Độ sẳn sàng trung bình Độ sẳn sàng cao Độ sẳn sàng cao Các tài sản tương tự có mức độ nhạy cảm hay giới hạn nguy rủi ro tổn thương nhóm lại để đơn giản hóa việc đánh giá mức độ quan trọng tài sản Các giá trị mức độ quan trọng tài sản dùng làm sở để tính giá trị rủi ro Hình 3.2: Đánh giá rủi ro (Risk Assessment) 88 3.2.4 Đánh giá mức độ mối đe dọa Các mối đe dọa khai thác lỗ hổng liên quan đến tài sản để gây thiệt hại hay gián đoạn việc cung cấp dịch vụ Đối với loại tài sản, cần xác định mối đe dọa khai thác lỗ hổng Đối với mối đe dọa xác định, cần ước tính giá trị mối đe dọa quy mô từ đến 5, '1 ' đại diện cho xác suất xảy thấp, '2' đại diện cho xác suất vừa xảy '5 ' đại diện cho xác suất xảy cao 3.2.5 Đánh giá mức độ lổ hổng Lỗ hổng điểm yếu liên quan đến tài sản Những điểm yếu khai thác mối đe dọa gây tổn thất thiệt hại đến tài sản Lỗ hổng thân khơng gây hại đuợc khai thác Cần phải xác định tất lỗ hổng điểm yếu liên quan đến tài sản Đối với điểm yếu đựoc ước tính trị giá thang điểm từ đến 5, "1" đại diện cho mơi trường an toàn, '2 'đại diện cho diện an ninh, cần cải tiến '5' đại diện cho mơi trường thiếu khơng có bảo đảm an tồn thơng tin cần phải cải thiện mạnh mẽ Hình 3.3: Phịng ngừa rủi ro (Risk Treatment) 89 3.2.6 Tính mức độ rủi ro báo cáo đánh giá rủi ro Mức độ rủi ro đuợc đánh giá, tinh toán dựa mức độ quan trọng tài sản, mức độ nguy cơ, mức độ tổn thương, để đơn giản đuợc tính tổng giá trị đánh giá mức độ ba yếu tố công lại Việc tính tốn mức độ quan trọng tất tài sản đuợc thực thông qua bảng mẫu, tóm tắt bảng đuợc sử dụng báo cáo đánh giá mức độ rủi ro 3.2.7 Phòng ngừa rủi ro Các lựa chọn để xử lý rủi ro:  Giả nguy cách quản lý thích hợp  Tránh rủi ro o Bằng cách không thực thi hành động o Di chuyển tài sản khỏi khu vực có nguy o Trì hỗn định thu tập đuợc đầy đủ thông tin  Chuyển đổi rủi ro o Thuê bên o Bằng cách bảo hiểm  Chấp nhận rủi ro o Chấp nhận rủi ro o Những tình khơng thể tránh đuợc o Rủi ro mức chấp nhận đuợc  Bỏ qua rủi ro gây ảnh hưởng thấp Mục tiêu kế hoạch xử lý rủi ro thực kiểm soát để đạt mức độ bảo đảm an tồn thơng tin theo u cầu quản lý 90 3.2.8 Mức độ rủi ro chấp nhận đuợc Mức độ chấp nhận giá trị rủi ro dùng '7 thấp hơn‟ Lý giá trị tài sản cao với điều khiển thích hợp vị trí giá trị mối đe dọa dễ bị tổn thương giống giá trị rủi ro là chấp nhận đuơc Bất kỳ giá trị rủi ro giá trị cần phải giải quyết, có nghĩa thực điều khiển bổ sung để giảm thiểu giá trị rủi ro đạt thấp Những rủi ro lại sau giải nguy ban đầu gọi rủi ro lại Lưu ý việc quản lý cần phải nhận thức mức độ chấp nhận rủi ro rủi ro cịn lại Hình 3.4: Mức rủi ro chấp nhận đuợc 91 3.2.9 Lựa chọn mục tiêu kiểm soát điều khiển Sau giá trị rủi ro tính tốn, xác định đuợc kiểm sốt thích hợp cho tài sản có giá trị rủi ro '8 cao hơn‟ Thì điều khiển lựa chọn thực thi để làm giảm giá trị rủi ro đến mức độ chấp nhận rủi ro 3.2.10 Kế hoạch phòng ngừa rủi ro Xây dựng kế hoạch thực phịng ngừa rủi ro để lựa chọn đuợc cách thức nhằm giải vấn đề:  Các ưu tiên  Thực lịch trình  Trách nhiệm  Các hoạt động đào tạo cần thiết Các báo cáo đánh giả rủi ro theo mẫu đuợc mở rộng để đánh giá đựợc kế hoạch phòng ngừa rủi ro Việc cần phải đuợc theo dõi hoàn thành sở liên tục theo yêu cầu ISO 3.2.11 Kiểm tra định kỳ Bản chất phức tạp tài sản thơng tin, giá trị mối đe dọa lỗ hổng tất thay đổi theo thời gian Do việc đánh giá rủi ro cần phải xem xét định kỳ, sáu tháng lần Ngoài tài sản thêm vào mối đe dọa xác định cần phải thực việc đánh gía tài sản đánh giá rủi ro lại 92 3.3 CÁC GIAO DIỆN CHÍNH Hình 3.5: Truy xuất nguồn gốc tài liệu hệ thống quản lý ATTT (ISMS Document Traceability) Hình 3.6: Thêm tài liệu cho hệ thống quản lý ATTT (Add ISMS Document) 93 Hình 3.7: Chỉnh sửa tài liệu hệ thống quản lý ATTT (Edit ISMS Document) Hình 3.8: Màn hình Screen 94 KẾT LUẬN Kết luận văn gồm có: 1/ Về nghiên cứu, tìm hiểu hệ thống quản lý ATTT theo chuẩn ISO27001: Hệ thống quản lý an tồn thơng tin ATTT bao gồm người, trình hệ thống CNTT Lập hệ thống quản lý ATTT theo chuẩn ISO 27001 cách tiếp cận mang tính hệ thống để quản lý thông tin nhạy cảm tổ chức nhằm trì đảm bảo ba thuộc tính an tồn thơng tin: Tính tin cậy, Tính tồn vẹn, Tính sẵn sàng Với yêu cầu cụ thể về: Hệ thống quản lý an tồn thơng tin Trách nhiệm ban lãnh đạo Đánh giá nội hệ thống quản lý ATTT Xem xét ban lãnh đao hệ thống quản lý ATTT Cải tiến hệ thống quản lý ATTT Thơng qua việc kiểm sốt mười mục tiêu lĩnh vực chính: Chính sách an ninh (Security Policy) Tổ chức an ninh (Security Organization) Phân loại kiểm tra tài sản (Asset Classification and Control) An ninh nhân (Personnel Security) An ninh môi trường mức vật lý (Physical and Environmental Security) Quản lý tác nghiệp thông tin liên lạc Điều khiển truy nhập (Access Control) Phát triển hệ thống bảo dưỡng (Systems Development and Maintenance) Quản trị tính liên tục kinh doanh (Business Continuity Management) Quản lý cố an tồn thơng tin Điều kiện tn thủ (Compliance) Như ISO 27001 giúp cho tổ chức tạo hệ thống quản lý an tồn thơng tin chặt chẽ nhờ cải tiến nhằm đảm bảo an ninh khai thác thông tin cách hợp lý hiệu 95 Tuy nhiên việc tuân theo đạt chứng chuẩn ISO 27001 chứng minh tổ chức đảm bảo an tồn 100% Khơng có điều an ninh hồn tồn ngoại trừ khơng làm Tuy nhiên, thừa nhận chuẩn quốc tế đưa lợi ích chắn mà người quản lý cần phải xem xét Cấp độ tổ chức: Sự cam kết - Chứng cam kết hiệu nổ lực đưa an ninh tổ chức đạt cấp độ chứng minh cần cù thích đáng người quản trị Cấp độ pháp luật: Tuân thủ - chứng minh cho nhà chức trách tổ chức tuân theo tất luật qui định áp dụng Điều quan trọng chuẩn bổ sung chuẩn luật tồn khác Cấp độ điều hành: Quản lý rủi ro - Mang lại hiểu biết tốt hệ thống thông tin, điểm yếu chúng làm để bảo vệ chúng Tương tự, đảm bảo nhiều khả sẵn sàng phụ thuộc phần cứng phần mềm Cấp độ thương mại: Sự tín nhiệm tin cậy- Các thành viên, cổ đông, khách hàng vững tin thấy khả chuyên nghiệp tổ chức việc bảo vệ thơng tin Chứng giúp nhìn nhận riêng từ đối thủ cạnh tranh thị trường Cấp độ tài cấp độ người: Tiết kiệm chi phí khắc phục lỗ hỏng an ninh có khả giảm chi phí bảo hiểm Cải tiến nhận thức nhân viên vấn đề an ninh trách nhiệm họ tổ chức 2/ Về thử nghiệm sử dụng chương trình quản lý ATTT: Chương trình “ISMS-RAT” trợ giúp cho việc thực thi ATTT tổ chức cách thuận tiện hiệu quả, lợi ích mà chương trình mang lại như: Phân lọai, kiểm kê tài sản liên quan đến An tồn Thơng tin, Đánh giá rủi ro, Lựa chọn kế hoạch phòng ngừa rủi ro phù hợp với tiêu chuẩn ISO 27001, thực việc truy xuất nguồn gốc tài liệu liên quan đến ATTT, Đưa rá tuyên bố áp dụng (Statement Of Applicabity: SOA) yêu cầu bắt buộc để thực ATTT theo tiêu chuẩn ISO 27001 cách hiệu 96 TÀI LIỆU THAM KHẢO Tiêu chuẩn kỹ thuật [1] ISO/IEC 1799:2000, Information technology – Code of Practice [2] BS 7799-2:2002, Information Security Management Specification with Guidance for User [3] ISO/IEC TR 13335-1:2004, Information technology - Security techniques Management of information and communications technology security Part 1: Concepts and models for information and communications technology security management ISO/IEC TR 13335-3:1998, Information technology - Guidelines for the management of IT Security Part 3: Techniques for the management of IT security ISO/IEC TR 13335-4:2000, Information technology - Guidelines for the management of IT Security Part 4: Selection of safeguards [4] ISO 19011:2002, Guidelines for quality and/or environmental management systems auditing [5] ISO/IEC 1799:2005 Information technology - Security techniques [6] OECD, Guidelines for the Security of Information Systems and Networks - Towards a Culture of Security Paris: OECD, July 2002 www.oecd.org 97 ... ĐẠI HỌC CÔNG NGHỆ -o0o - NGUYỄN VĂN ANH NGHIÊN CỨU HỆ THỐNG QUẢN LÝ AN TỒN THƠNG TIN THEO TIÊU CHUẨN ISO 27001 Ngành: Công nghệ thông tin Chuyên ngành: Hệ thống thông tin Mã ngành: 60.48.05... cố an tồn thơng tin Một chuỗi kiện an tồn thơng tin khơng mong muốn có khả làm tổn hại hoạt động quan tổ chức đe dọa an toàn thơng tin 7/ Hệ thống quản lý an tồn thơng tin Hệ thống quản lý an. .. cấp hệ thống quản lý an tồn thơng tin - Information Security Management System (ATTT) Việc chấp nhận hệ thống quản lý ATTT định chiến lược tổ chức Thiết kế triển khai hệ thống quản lý an toàn thông