1. Trang chủ
  2. » Luận Văn - Báo Cáo

Đánh giá hệ thống bảo mật của phòng đào tạo trường đại học kinh tế luật (đhqg hcm) theo chuẩn iso 27001

88 22 0

Đang tải... (xem toàn văn)

Tài liệu hạn chế xem trước, để xem đầy đủ mời bạn chọn Tải xuống

THÔNG TIN TÀI LIỆU

Thông tin cơ bản

Định dạng
Số trang 88
Dung lượng 2,89 MB

Nội dung

ĐẠI HỌC QUỐC GIA TP HỒ CHÍ MINH TRƢỜNG ĐẠI HỌC BÁCH KHOA - NGUYỄN VĂN TUYÊN ĐÁNH GIÁ HỆ THỐNG BẢO MẬT CỦA PHÒNG ĐÀO TẠO TRƢỜNG ĐẠI HỌC KINH TẾ - LUẬT (ĐHQG.HCM) THEO CHUẨN ISO 27001 Chuyên ngành: Hệ thống thông tin quản lý Mã số: 60.34.48 LUẬN VĂN THẠC SĨ TP HỒ CHÍ MINH tháng 01 năm 2015 ĐẠI HỌC QUỐC GIA TP HỒ CHÍ MINH TRƢỜNG ĐẠI HỌC BÁCH KHOA - NGUYỄN VĂN TUYÊN ĐÁNH GIÁ HỆ THỐNG BẢO MẬT CỦA PHÒNG ĐÀO TẠO TRƢỜNG ĐẠI HỌC KINH TẾ - LUẬT (ĐHQG.HCM) THEO CHUẨN ISO 27001 Chuyên ngành: Hệ thống thông tin quản lý Mã số: 60.34.48 LUẬN VĂN THẠC SĨ TP HỜ CHÍ MINH tháng 01 năm 2015 CƠNG TRÌNH ĐƢỢC HOÀN THÀNH TẠI TRƢỜNG ĐẠI HỌC BÁCH KHOA –ĐHQG -HCM Cán hƣớng dẫn khoa học : PGS.TS Đặng Trần Khánh (Ghi rõ họ, tên, học hàm, học vị chữ ký) Cán chấm nhận xét : TS Nguyễn Tuấn Đăng (Ghi rõ họ, tên, học hàm, học vị chữ ký) Cán chấm nhận xét : TS Nguyễn Thanh Bình (Ghi rõ họ, tên, học hàm, học vị chữ ký) Luận văn thạc sĩ đƣợc bảo vệ Trƣờng Đại học Bách Khoa, ĐHQG Tp HCM ngày 06 tháng 01 năm 2015 Thành phần Hội đồng đánh giá luận văn thạc sĩ gồm: (Ghi rõ họ, tên, học hàm, học vị Hội đồng chấm bảo vệ luận văn thạc sĩ) TS Lê Lam Sơn TS Trần Ngọc Minh TS Nguyễn Tuấn Đăng TS Nguyễn Thanh Bình TS Lê Thành Sách Xác nhận Chủ tịch Hội đồng đánh giá LV Trƣởng Khoa quản lý chuyên ngành sau luận văn đƣợc sửa chữa (nếu có) CHỦ TỊCH HỘI ĐỒNG TRƢỞNG KHOA ĐẠI HỌC QUỐC GIA TP.HCM TRƢỜNG ĐẠI HỌC BÁCH KHOA CỘNG HÒA XÃ HỘI CHỦ NGHĨA VIỆT NAM Độc lập - Tự - Hạnh phúc NHIỆM VỤ LUẬN VĂN THẠC SĨ Họ tên học viên: Nguyễn Văn Tuyên MSHV:12321081 Ngày, tháng, năm sinh: 13/12/1988 Nơi sinh: Hải Dƣơng Chuyên ngành: Hệ Thống Thông Tin Quản Lý Mã số : 60.34.48 I TÊN ĐỀ TÀI: Đánh giá hệ thống bảo mật phòng Đào tạo trƣờng Đại học Kinh tế - Luật (ĐHQG.HCM) theo chuẩn ISO 27001 II - NHIỆM VỤ VÀ NỘI DUNG: - Tìm hiểu tiêu chuẩn ISO 27001 để tham khảo, làm đánh giá hệ thống bảo mật Khảo sát trạng hệ thống bảo mật phòng Đào tạo trƣờng Đại học Kinh tế - - Luật (ĐHQG.HCM) Đánh giá hệ thống bảo mật phòng Đào tạo trƣờng Đại học Kinh tế - Luật (ĐHQG.HCM) theo chuẩn ISO 27001 để xác định yếu tố, quy trình chƣa đạt chuẩn ISO 27001, làm sở để đƣa đóng góp cải thiện hệ thống bảo mật phòng - Đề xuất biện pháp nhằm cải thiện hệ thống bảo mật phòng Đào tạo trƣờng Đại học Kinh tế - Luật (ĐHQG.HCM) theo chuẩn ISO 27001 III NGÀY GIAO NHIỆM VỤ : 10/02/2014 IV NGÀY HOÀN THÀNH NHIỆM VỤ: 20/11/2014 V CÁN BỘ HƢỚNG DẪN: PGS.TS Đặng Trần Khánh TP HCM, ngày 06 tháng 01 năm 2015 CÁN BỘ HƢỚNG DẪN TRƢỞNG KHOA (Họ tên chữ ký) (Họ tên chữ ký) PGS.TS Đặng Trần Khánh LỜI CÁM ƠN Xin chân thành cám ơn Trƣờng Đại học Bách khoa TP.HCM, Khoa Khoa học Kỹ thuật Máy tính - Trƣờng Đại học Bách khoa TP.HCM, Phòng đào tạo Sau đại học Trƣờng Đại học Bách khoa TP.HCM tạo điều kiện cho em học tập, nghiên cứu thực luận văn Xin chân thành cám ơn thầy cô Khoa Khoa học Kỹ thuật Máy tính Trƣờng Đại học Bách khoa TP.HCM giảng viên khác nhà trƣờng hết lòng giảng dạy, truyền đạt kiến thức cho chúng em suốt khóa học Xin chân thành cám ơn thầy PGS.TS Đặng Trần Khánh, ngƣời dành nhiều thời gian, cơng sức, tận tình hƣớng dẫn, định hƣớng cho em trình làm luận văn Xin chân thành cám ơn anh chị, bạn đồng nghiệp hỗ trợ tơi hồn thành luận văn Cám ơn gia đình động viên, hỗ trợ nguồn động lực to lớn giúp vƣợt qua khó khăn TP.HCM, ngày 06 tháng 01 năm 2015 Nguyễn Văn Tun TĨM TẮT Cơng nghệ thơng tin phát triển nhanh chóng với việc sở giáo dục trọng đến hệ thống bảo mật thành lập khiến cho hệ thống bảo mật sở giáo dục có nhiều điểm yếu dễ bị de dọa Tiêu chuẩn ISO/IEC 27001 qui định yêu cầu hệ thống an ninh thông tin, sở để xem xét đánh giá cấp chứng tổ chức chứng nhận Tiêu chuẩn ISO/IEC 27001 phù hợp với tổ chức lớn nhỏ áp dụng đƣợc với lĩnh vực kinh tế toàn giới Đề tài nghiên cứu đánh giá hệ thống bảo mật phòng Đào tạo trƣờng Đại học Kinh tế - Luật (ĐHQG.HCM) theo chuẩn ISO 27001 bao gồm nội dung sau: - Nghiên cứu nội dung tiêu chuẩn ISO 27001 - Khảo sát trạng hệ thống bảo mật phòng Đào tạo trƣờng Đại học Kinh tế - Luật (ĐHQG.HCM) Đánh giá hệ thống bảo mật phòng Đào tạo trƣờng Đại học Kinh tế - Luật - (ĐHQG.HCM) theo chuẩn ISO 27001 ABSTRACT The development of Information technology (IT), along with paying less attention to security system of educational institutions when they were found make their security system has too much weakness and easy to be threatened ISO/IEC 27001 defines some requirements to security information system, this is a standard to evaluate and issue the certificate of certifying agencies ISO/IEC 27001 is according to all of large and small organizations and may apply to all of economic sectors worldwide This research is regarding to appreciating security system of Academic Affairs Department - University of Economics and Laws (VN National University, HCM city) according to ISO 27001 It includes below details: - Exploring the content of ISO 27001 Surveying the current status of the security system of the Academic Affairs - Department - University of Economics and Laws (VN National University, HCM city) Evaluating security system of Academic Affairs Department - University of Economics and Laws (VN National University, HCM city) according to ISO 27001 LỜI CAM ĐOAN Tôi là: Nguyễn Văn Tuyên Ngày sinh: 13/12/1988 Tôi xin cam đoan Luận văn tự nghiên cứu thực từ tài liệu tham khảo nƣớc Các tài liệu tham khảo đƣợc nêu phần “Tài liệu tham khảo” Tôi xin cam đoan lời khai thật chịu hoàn toàn trách nhiệm nội dung Luận văn trƣớc Hội đồng đánh giá luận văn thạc sĩ TP.HCM, ngày 06 tháng 01 năm 2015 Nguyễn Văn Tuyên MỤC LỤC CHƢƠNG 1: GIỚI THIỆU 1.1 Lý chọn đề tài 1.2 Mục đích nghiên cứu đề tài 1.3 Nhiệm vụ đề tài 1.4 Đối tƣợng phạm vi nghiên cứu 1.5 Phƣơng pháp nghiên cứu 1.6 Ý nghĩa đề tài 1.6.1 Ý nghĩa khoa học 1.6.2 Ý nghĩa thực tiễn 1.7 Kết cấu đề tài .6 CHƢƠNG 2: TÌNH HÌNH NGHIÊN CỨU LIÊN QUAN 2.1 Thế giới 2.2 Trong nƣớc 10 CHƢƠNG 3: CƠ SỞ LÝ THUYẾT LIÊN QUAN 13 3.1 Các phƣơng pháp đánh giá an toàn, bảo mật 13 3.1.1 Kiểm tốn an tồn thông tin 13 3.1.2 Đánh giá bảo mật thông qua đánh giá rủi ro 14 3.1.3 Đánh giá lỗ hổng bảo mật (Vulnerable assessment) 14 3.1.4 Phƣơng pháp tổng hợp 15 3.2 Một số vấn đề cần lƣu ý đánh giá hệ thống 15 3.3 Giới thiệu tiêu chuẩn ISO 16 3.3.1 Giới thiệu Bộ tiêu chuẩn quốc tế ISO/ IEC 27000 Hệ thống quản lý an ninh thông tin 16 3.3.2 Giới thiệu ISO 27001 23 3.3.3 Hệ thống quản lý an ninh thông tin (ISMS) 24 3.4 Triển khai ISO 27001:2005 cho tổ chức 26 3.4.1 Khởi động dự án 26 3.4.2 Thiết lập ISMS 26 3.4.3 Đánh giá rủi ro 26 - A.11.5.6 tính chuyên viên phòng - A.11.6.1 tự ý cài hệ điều hành tài - A.11.6.2 khoản đăng nhập vào phần mềm - A.11.7.1 quản lý không tuân thủ - A.11.7.2 quy tắc nào, máy tính dễ bị xâm nhập trái phép - Các phiên làm việc không hoạt động bị tắt sau khoảng thời gian trễ 30 phút - Phòng chƣa có quy định giới hạn thời gian kết nối - Các thiết bị mạng trƣờng nhƣ phòng đƣợc quản lý định danh dƣới dạng địa IP tổ IT cấp phát, làm việc máy tính đƣợc truy cập dịch vụ đƣợc phép - Hệ thống mạng phịng có phân tách với phòng khác mạng VLAN phòng Đào tạo - A.12.1.1 - A.12.2.1 Tiếp nhận, phát triển trì hệ thống thơng tin - A.12.2.2 - A.12.2.3 - A.12.2.4 - A.12.3.1 - A.13.3.2 - A.12.4.1 - A.12.4.2 - A.12.4.3 - A.12.5.1 - A.12.5.2 59 - Phần mềm phịng khơng kiểm tra tính hợp lệ liệu nhập vào Do nhiều liệu lƣu trữ khơng xác nhƣ: thông tin ngày sinh sinh viên, thông tin số điện thoại, thông tin địa Email sinh viên - Phịng chƣa có sách quản lý mã hóa - Phịng có thủ tục cho việc quản lý trình cài đặt - A.12.5.3 phần mềm hệ thống điều - A.12.5.4 hành, thủ tục tổ IT - A.12.5.5 thiết lập - A.12.6.1 - Phịng chƣa có quy trình quản lý mã nguồn chƣơng trình Hiện phịng sử dụng phần mềm khác cá nhân khác xây dựng, mã nguồn phần mềm cá nhân xây dựng tự quản lý, phần mềm xây dựng chƣa hoàn chỉnh nên việc sửa đổi gói phần mềm diễn thƣờng xuyên Quản lý cố an toàn thơng tin - A.13.1.1 A.13.1.2 A.13.2.1 A.13.2.2 - Phịng chƣa có quy trình quản lý cố an tồn thơng tin - A.13.2.3 - A.14.1.1 A.14.1.2 A.14.1.3 A.14.1.4 Quản lý liên tục hoạt động nghiệp vụ - Phịng chƣa có đánh giá rủi ro, tính đến an tồn thơng tin q trình quản lý liên tục nghiệp vụ - Cơ sở liệu phòng đƣợc backup ngày Khi có cố, sở liệu đƣợc phục hồi vòng - Phòng chƣa xây dựng kế hoạch tính liên tục hoạt động nghiệp vụ - A.15.1.1 Sự tuân thủ - A.15.1.2 60 - Do đặc thù hoạt động lĩnh vực giáo dục nên quy trình, hoạt động phịng tn thủ - A.15.1.3 hồn tồn theo quy định Luật - A.15.1.4 giáo dục đại học, Quy chế đào - A.15.1.5 tạo đại học cao đẳng theo hệ - A.15.1.6 thống tín (ban hành kèm theo - A.15.2.1 - A.15.2.2 Quyết định số 1368 /ĐHQGĐH&SĐH ngày 21 tháng 11 năm - A.15.3.1 - A.15.3.2 2008 Giám đốc Đại học Quốc gia Tp Hồ Chí Minh) quy định khác pháp luật - Các phần mềm, tài liệu phịng tơn trọng quyền sở hữu trí tuệ: phần mềm phịng sủ dụng có quyền, tài liệu phịng đƣợc kiểm duyệt lãnh đạo trƣờng, lãnh đạo phòng quyền sở hữu trí tuệ trƣớc sử dụng - Phịng chƣa có quy trình quản lý hồ sơ, hồ sơ quan trọng đƣợc lƣu giữ kho, đƣợc kiểm kê Môi trƣờng kho ẩm thấp làm cho hồ sơ dễ bị mốc, hƣ hỏng, mối ăn,… 5.4 Đề xuất phƣơng pháp nhằm cải thiện hệ thống bảo mật phòng Đào tạo trƣờng Đại học Kinh tế - Luật (ĐHQG.HCM) Rõ ràng hệ thống bảo mật phòng Đào tạo bộc lộ nhiều điểm yếu, dễ bị phá hoại, nhiều tiêu chí khơng đáp ứng đƣợc u cầu chuẩn ISO 27001 Do phịng Đào tạo cần phải nhanh chóng khắc phục điểm yếu Dƣới đề xuất để cải thiện hệ thống bảo mật phịng 61 5.4.1 Chính sách an tồn thơng tin (Control A.5) - - Nhanh chóng phối hợp tổ IT rà sốt lại sách an tồn thơng tin trƣờng, tiến hành cập nhật lại sách mới, loại bỏ sách khơng cịn phù hợp Ban hành văn sách an tồn thơng tin dựa sách an tồn thơng tin nhà trƣờng sách an tồn thơng tin phịng - Các sách an tồn thơng tin bao gồm: sách kiểm sốt truy cập hệ thống thông tin, quy định quản lý đặt mật khẩu, quy định quản lý phƣơng tiện lƣu trữ, quy định kiểm sốt thay đổi, quy trình tiêu hủy cách an toàn liệu thiết bị, quy tắc phòng chống phần mềm độc hại, quy trình lƣu liệu, quy tắc truy cập từ xa, quy định cài đặt phần mềm - Phổ biến đến chuyên viên phòng sách an tồn thơng tin Thƣờng xun sốt xét lại sách an tồn thơng tin 5.4.2 Tổ chức đảm bảo an tồn thơng tin (Control A.6) - Đề xuất thành lập Ban quản lý an tồn thơng tin trƣờng với cấu nhƣ sau:  Trƣởng ban an tồn thơng tin (Phó hiệu trƣởng phụ trách)  Các thành viên ban an tồn thơng tin (các chuyên viên thuộc tổ IT, chuyên viên phụ trách công nghệ thông tin am hiểu công nghệ thơng tin phịng, ban) -  Thƣ ký Hiệu trƣởng ban hành đinh thành lập Ban quản lý an tồn thơng tin quy định rõ vai trị quyền hạn ban Quản lý an tồn thơng tin  Trách nhiệm Ban quản lý an toàn thơng tin:  Thiết lập sách an tồn thông tin trƣờng  Tiến hành phổ biến kiểm tra việc thực sách an tồn thông tin trƣờng  Đảm bảo cho việc kiểm toán hệ thống ISMS thƣờng xuyên đƣợc thực  Các thành viên ban an tồn thơng tin hỗ trợ đơn vị triển khai sách an tồn thơng tin, giám sát, đánh giá, báo cáo thủ trƣởng đơn vị rủi ro an tồn thơng tin mức độ nghiêm trọng rủi ro đó; 62  Các thành viên Ban an tồn thơng tin chịu trách nhiệm đảm bảo an tồn thơng tin đơn vị  Vai trị Ban an tồn thơng tin  Định hƣớng, kiểm sốt đảm bảo an tồn thơng tin trƣờng  Thƣờng xuyên cập nhật thông tin bảo mật để từ sốt xét lại sách an tồn thơng tin nhằm loại bỏ sách khơng cịn phù hợp bổ sung sách  Đề xuất sách an tồn thơng tin trƣờng  Tham mƣu cho Ban Giám hiệu việc ban hành quy định, quy trình nội bộ, triển khai giải pháp kỹ thuật đảm bảo an tồn thơng tin - Ban quản lý an tồn thơng tin họp định kỳ tháng lần; thành viên Ban cần đƣợc tham dự lớp học, buổi hội thảo bảo mật Ban quản lý an tồn thơng tin tiến hành rà sốt lại hệ thống bảo mật phòng, ban nhƣ trƣờng; soạn thảo quy trình quy định việc phối hợp phòng ban, cá nhân cho đảm bảo an tồn thơng tin 5.4.3 Quản lý tài sản (Control A.7) - Tăng mức độ thƣờng xuyên việc kê khai kiểm kê tài sản lên tháng lần, tài sản đƣợc kiểm kê phải ghi rõ ngày kiểm kê, ngƣời kiểm kê, tên tài sản đƣợc kiểm kê, nhà cung cấp, trạng, thời hạn sử dụng - Khi tài sản có thay đổi việc sở hữu nhƣ chia tách, gộp phòng, hƣ hỏng,… - phòng Quản trị thiết bị phải tiến hành kiểm kê lại tài sản liên quan Phân loại tài sản phòng theo mức độ nhƣ giá trị, tầm quan trọng để từ có biện pháp bảo vệ phù hợp - - Yêu cầu chuyên viên trả máy in nhỏ kết nối đến Printer Server in Lãnh đạo phòng Đào tạo tiến hành bàn giao máy in nhỏ cho phòng Quản trị thiết bị để bàn giao cho phòng, ban bị thiếu bảo quản kho trƣờng Các tài sản mang khỏi phòng phải có đồng ý lãnh đạo phịng - Lãnh đạo phòng chịu trách nhiệm trƣớc Ban Giám hiệu trƣờng tài sản phịng - Khi có mát, hƣ hỏng tài sản xảy ra, chuyên viên cần báo cho lãnh đạo phòng Đào tạo phòng Quản trị thiết bị; phòng Quản trị thiết bị ghi nhận, tìm hiểu nguyên nhân báo cáo lên Ban Giám hiệu để có hƣớng xử lý kịp thời 63 - Việc mua sắm tài sản phải phù hợp với yêu cầu, tiêu chuẩn, định mức, chế độ quản lý phòng - Tài sản phòng phải sử dụng mục đích, cơng năng, tiêu chuẩn, định mức, chế độ bảo đảm hiệu quả, tiết kiệm - Nghiêm cấm việc sử dụng tài sản phòng vào mục đích cá nhân Lập danh sách thơng tin theo cấp độ bảo mật, nhạy cảm; từ đƣa sách quản lý thơng tin theo cấp độ khác 5.4.4 Đảm bảo an toàn tài nguyên ngƣời (Control A.8) - Phối hợp với phòng Tổ chức hành rà sốt lại thơng tin điều khoản điều - kiện tuyển dụng phòng Đào tạo Xây dựng yêu cầu, trách nhiệm đảm bảo an tồn thơng tin vị trí cơng việc Trƣớc tiếp nhận nhân sự, phải kiểm tra khả đáp ứng yêu cầu an toàn thông tin nhân Trong hợp đồng lao động, phải có - điều khoản trách nhiệm đảm bảo an tồn thơng tin Ban quản lý an tồn thơng tin thƣờng xun tun truyền vấn đề an tồn thơng tin đến tất cán trƣờng; yêu cầu cán trƣờng sinh - viên lập cam kết đảm bảo an tồn thơng tin Thƣờng xun kiểm tra việc thi hành sách an tồn thơng tin - phòng Tổ IT phối hợp phòng Tổ chức hành rà sốt lại danh sách cán khơng cịn làm việc trƣờng, sau phối hợp với lãnh đạo phòng, ban tiến hành chuyển giao quyền, chức cho cá nhân đảm nhiệm cơng việc tƣơng ứng; hủy tài khoản, quyền truy cập hệ thống thông tin, thu hồi lại tất tài sản liên quan tới hệ thống thơng tin (khố, thẻ nhận dạng, thƣ mục lƣu trữ, thƣ điện tử, máy vi tính, ) cá nhân nghỉ việc, chuyển cơng tác 5.4.5 Đảm bảo an tồn vật lý môi trƣờng (Control A.9) - - - Lãnh đạo phịng Đào tạo tiến hành đổi ổ khóa phịng, giao chìa khóa cho ngƣời có trách nhiệm quản lý phòng Tài sản đƣợc mang khỏi phòng phải có đồng ý văn lãnh đạo phòng phòng Quản trị thiết bị Tiến hành di dời sở liệu máy chủ phòng Đào tạo lên máy chủ phòng Server trƣờng Trả máy chủ phòng cho cá nhân sở hữu yêu cầu đƣa khỏi khu vực trƣờng Phòng tiến hành vệ sinh lại phòng, cách ly có chế quản lý vật dễ cháy 64 - Tổ bảo vệ kiểm tra phòng làm việc vào 21h ngày để đảm bảo thiết bị điện khơng cịn dùng đƣợc tắt - Nhà trƣờng cần có khu vực dành riêng cho việc hút thuốc, quy định đƣợc hút thuốc khu vực - Thƣờng xuyên kiểm tra nhiệt độ, độ ẩm nhà kho, nhanh chóng xử lý tài liệu, hồ sơ bị mối, mọt ăn - Các thiết bị mạng quan trọng nhƣ tƣờng lửa (firewall), thiết bị định tuyến (router), hệ thống máy chủ, … phải đƣợc đặt phịng máy chủ có biện pháp bảo vệ, ngăn chặn xâm nhập trái phép vào phòng máy chủ - Phòng máy chủ đƣợc đƣa vào dạng khu vực hạn chế tiếp cận đƣợc đƣợc lắp đặt hệ thống camera giám sát Chỉ ngƣời có trách nhiệm theo quy định thủ - trƣởng quan đƣợc phép vào phịng máy chủ Q trình vào, phòng máy chủ phải đƣợc ghi nhận vào nhật ký quản lý phòng máy chủ - Phòng máy chủ phải có hệ thống lƣu điện đủ cơng suất trì thời gian hoạt động máy chủ tối thiểu 15 phút có cố điện 5.4.6 Quản lý truyền thông điều hành (Control A.10) - Tiến hành tập hợp, rà soát lại quy trình, thủ tục có, ghi lại thành văn bản, - lƣu phịng để đảm bảo sẵn có cần dùng đến Cảnh giác cao độ với file chia sẻ từ email, tải mạng ngƣời thân gửi Tất tập tin đƣợc chép download mạng phải đƣợc - quét mã độc phần mềm Kaspersky Antivirus Security Các chuyên viên phòng báo cáo cho tổ IT nghi ngờ phát máy tính mã độc - Thƣờng xuyên cập nhật liệu phần mềm Kaspersky Antivirus Security Khơng cài đặt phần mềm khơng có quyền - Các chuyên viên phải thƣờng xuyên dọn dẹp file rác máy tính cá nhân Các liệu quan trọng phịng phải đƣợc lƣu Các thơng tin cần đƣợc lƣu: cấu hình hệ thống, phần mềm ứng dụng, sở liệu, tập tin - Tổ IT thiết lập chế độ tự động lƣu liệu hàng ngày vào lúc 24h máy chủ liệu; lƣu trữ liệu đƣợc lƣu server riêng biệt; muốn khôi phục liệu, tổ IT phải gửi yêu cầu văn cho Ban Giám hiệu đơn vị có liên quan đƣợc đồng ý văn Ban Giám hiệu đơn vị có liên quan 65 - Các chuyên viên phải thƣờng xuyên lƣu liệu làm việc - Thƣờng xuyên kiểm tra tập tin đƣợc lƣu - Xây dựng quy trình phục hồi hệ thống có cố xảy - Phòng Đào tạo đề nghị tổ IT dừng dịch vụ chia sẻ liệu ổ đĩa chung - trƣờng để tránh nguy lây nhiễm phần mềm phá hoại nội trƣờng Phối hợp tổ IT cài đặt lại hệ điều hành phần mềm cần thiết máy tính chuyên viên phòng tự ý cài hệ điều hành Tất máy tính muốn cài lại hệ điều hành phải tổ IT cài đặt - Tổ IT tiến hành bật chế độ ghi nhận nhật ký tất máy tính trƣờng - Các chuyên viên phòng báo cáo cho tổ IT trƣờng hợp bất thƣờng sử dụng máy tính nhƣ phát nghi ngờ máy tính bị nhiểm virus, không click - vào đƣờng link lạ Email Các chuyên viên phòng làm việc đƣợc sử dụng mạng vào mục đích hỗ trợ công việc - Đề nghị tổ IT phải thƣờng xuyên kiểm tra, phát thiết bị, phần mềm cài đặt trái phép hệ thống mạng; giám sát băng thông để phát cố bất thƣờng - Xây dựng quy trình quản lý phƣơng tiện di dời, quy trình loại bỏ thiết bị, giấy tờ cách an tồn, trình Ban Giám hiệu phê duyệt - Đề xuất phòng Quản trị thiết bị cung cấp cho phòng máy hủy giấy, sử dụng máy hủy giấy để hủy giấy tờ rác chứa thông tin nhạy cảm, bảo mật 5.4.7 Quản lý truy cập (Control A.11) - Phòng Đào tạo phối hợp tổ IT xây dựng sách quản lý truy cập Tiến hành rà soát lại việc cấp phát đặc quyền sai, trái phép thu hồi lại - Xây dựng quy định việc đặt mật đăng nhập, yêu cầu chuyên viên đặt lại mật theo quy định, yêu cầu phận cung cấp phần mềm kiểm - tra mật chuyên viên có chuẩn quy định hay không đăng ký thay đổi mật Mật đăng nhập vào hệ thống thơng tin phải có độ phức tạp cao (có độ dài - tối thiểu ký tự, có ký tự thƣờng, ký tự số ký tự đặc biệt nhƣ !, @, #, $, %, ) phải đƣợc thay đổi tháng/lần Các tài khoản cấp cho chuyên viên phòng truy xuất liệu phịng đƣợc cấp có đồng ý lãnh đạo phòng 66 - Các quy định quản lý truy cập vào hệ thống thông tin, mạng máy tính, thiết bị, phần mềm ứng dụng phòng phải đƣợc quy định chi tiết tổ chức thực nghiêm túc, phù hợp với quy định pháp luật an tồn thơng tin - Mỗi tài khoản truy cập hệ thống thông tin đƣợc cấp cho ngƣời quản lý - sử dụng Các chuyên viên phòng đƣợc phép truy cập thông tin phù hợp với chức năng, trách nhiệm, quyền hạn mình, có trách nhiệm bảo mật tài khoản truy cập thông tin - Các hệ thống thông tin cần giới hạn số lần đăng nhập sai liên tiếp vào hệ thống Hệ thống tự động khoá tài khoản khoảng thời gian định trƣớc tiếp tục cho đăng nhập liên tục đăng nhập sai vƣợt số lần quy định - Tất máy tính phịng phải đƣợc đặt mật truy cập thiết lập chế độ tự động bảo vệ hình sau 10 phút khơng sử dụng 5.4.8 Tiếp nhận, phát triển trì hệ thống thơng tin (Control A.12) - Các phần mềm phịng phải kiểm tra liệu đầu vào để ngăn chặn việc chun viên vơ tình cố ý nhập sai kiểu liệu nhƣ liệu điểm, liệu - ngày, tháng, năm, Các thống kê báo cáo trƣớc cơng bố phải đƣợc kiểm tra tính xác - liệu Kiểm tra lại sách mã hóa xem có cần thiết cho phịng hay khơng, có, tiến hành xây dựng sách - Tất máy tính cài đặt phần mềm phải có mật ngƣời quản trị hệ thống Chuyên viên IT lập danh sách file quan trọng cần phải bảo vệ hệ thống, đề - xuất sách bảo vệ Trƣớc cập nhật hệ điều hành cài đặt hệ điều hành máy tính, chuyên viên phụ trách IT ghi nhận lại phần mềm hoạt động máy tính, lƣu dự phịng để đảm bảo tác vụ không bị gián đoạn hệ điều hành có thay đổi - Lãnh đạo phịng Đào tạo chịu trách nhiệm phần mềm sử dụng phịng Hạn chế tối đa việc sửa đổi gói phần mềm Khi có sửa đổi gói phần mềm phần mềm ứng dụng quản lý sinh viên hệ khơng quy, hệ 67 quy tuyển sinh đại học, chuyên viên quản lý ghi lại vào nhật ký phải báo cáo cho lãnh đạo biết lý thay đổi, module thay đổi - Ban hành quy trình quản lý mã nguồn chƣơng trình, nhanh chóng tiến hành hợp phần mềm phịng phát triển thành 1, đồng thời có đánh giá tính an tồn, xác bảo mật chuyên gia phần mềm phòng tự phát triển; phần mềm phịng khơng đạt u cầu bảo mật, an tồn liệu,… cần tiến hành sửa lỗi mua phần mềm quản lý đào tạo cơng ty có kinh nghiệm, uy tín cung cấp - Chuyên viên phụ trách IT, tổ IT có trách nhiệm cập nhật thơng tin bảo mật qua phƣơng tiện thông tin đại chúng; theo dõi, giám sát hệ thống; phát bất thƣờng cần báo cáo lên Ban Giám hiệu đề xuất phƣơng pháp giải 5.4.9 Quản lý cố an tồn thơng tin (Control A.13) - Phối hợp tổ IT xây dựng ban hành quy trình quản lý cố an tồn thơng - tin, quy định rõ ngƣời đƣợc phép truy cập sử dụng thông tin Quy định trách nhiệm việc để xảy cố an tồn thơng tin Phân loại mức độ nghiêm trọng cố, bao gồm:  Thấp: cố gây ảnh hƣởng nhỏ khơng làm gián đoạn hay đình trệ hoạt động phịng;  Trung bình: cố ảnh hƣởng lớn nhƣng khơng gây gián đốn hay đình trệ hoạt động phịng;  Cao: cố làm cho thiết bị, phần mềm hay hệ thống sử dụng đƣợc gây ảnh hƣởng đến hoạt động phịng;  Khẩn cấp: cố ảnh hƣởng đến liên tục nhiều hoạt động phịng Đối với cố phải có phƣơng án đối phó cụ thể - - Khi có cố nguy an tồn thơng tin lãnh đạo phòng Đào tạo phải đạo kịp thời để khắc phục hạn chế thiệt hại, báo cáo văn cho Ban Giám hiệu Trƣờng hợp có cố nghiêm trọng mức độ cao, khẩn cấp vƣợt khả khắc phục đơn vị, lãnh đạo phòng Đào tạo phải báo cáo cho Ban Giám hiệu 5.4.10.Quản lý liên tục hoạt động, nghiệp vụ (Control A.14) - Rà soát lại rủi ro ảnh hƣởng đến liên tục hoạt động nghiệp vụ, đặc biệt hoạt động then chốt mà bị ngừng trệ ảnh hƣởng đến hoạt 68 động khác, lập danh sách rủi ro này, xác định rõ rủi ro, xác xuất xảy ra, hậu gây ra, biện pháp phòng ngừa, tiến hành loại bỏ hạn chế rủi ro đến mức thấp - Xác định khả phục hồi thời gian cần thiết để phục hồi hoạt động - Xác định yếu tố cần thiết để phục hồi hoạt động bị cố Tiến hành thử nghiệm khả phục hồi hệ thống 5.4.11.Sự tuân thủ (Control A.15) - Rà soát lại văn bản, quy định nhà nƣớc lĩnh vực giáo dục nhƣ: Luật giáo dục đại học, Quy chế tuyển sinh đại học cao đẳng, Quy chế tuyển sinh đại học cao đẳng hình thức vừa làm vừa học, Quy chế văn bằng, chứng hệ thống giáo dục quốc dân Lƣu trữ văn phịng để phịng sử - dụng cần đến Trong phịng khơng đƣợc cài đặt phần mềm khơng có quyền, cần thiết - phải cài đặt, chuyên viên phải xin ý kiến lãnh đạo phòng, lãnh đạo phòng xem xét, đảm bảo cân đối tài gửi tờ trình lên Ban Giám hiệu Ban hành quy trình quản lý hồ sơ, lƣu trữ hồ sơ quan trọng riêng biệt nơi an tồn Thƣờng xun kiểm tra mơi trƣờng dƣới kho, xịt thuốc chống mối, mọt - Hạn chế việc truy xuất đến liệu riêng tƣ, thông tin sinh viên, hồ sơ sinh viên 69 CHƢƠNG 6: KẾT LUẬN Kết đạt đƣợc Ngày có nhiều tổ chức quan tâm đến việc xây dựng hệ thống bảo mật nhằm lấy chứng ISO 27001, xu hƣớng bảo mật hệ thống Điều cho thấy ISO 27001 dần trở thành thƣớc đo hệ thống bảo mật, chuẩn mà hệ thống bảo mật hƣớng đến Do việc đánh giá hệ thống bảo mật theo chuẩn ISO 27001 cần thiết tổ chức Đề tài thực việc đánh giá hệ thống bảo mật phòng Đào tạo trƣờng Đại học Kinh tế - Luật (ĐHQG.HCM) theo chuẩn ISO 27001 đạt đƣợc số kết nhƣ sau: - Nghiên cứu tổng quan hệ thống ISMS theo chuẩn ISO 27001 - Khảo sát trạng hệ thống bảo mật Đào tạo trƣờng Đại học Kinh tế - Luật (ĐHQG.HCM) - Xác định mối đe dọa đến hệ thống bảo mật phòng Đào tạo trƣờng Đại học Kinh tế - Luật (ĐHQG.HCM) - Đánh giá hệ thống bảo mật phòng Đào tạo trƣờng Đại học Kinh tế Luật (ĐHQG.HCM) theo chuẩn ISO 27001 - Đề xuất biện pháp nhằm cải thiện hệ thống bảo mật phòng Đào tạo trƣờng Đại học Kinh tế - Luật (ĐHQG.HCM) theo chuẩn ISO 27001 Hạn chế đề tài hƣớng nghiên cứu Nghiên cứu dừng mức độ đánh giá hệ thống bảo mật phòng Đào tạo trƣờng Đại học Kinh tế - Luật (ĐHQG.HCM) Khu phố 3, Phƣờng Linh Xuân, Quận Thủ Đức Cần tiếp tục phát triển nghiên cứu khoa, phòng ban, văn phòng, trung tâm, sở khác trƣờng Cần phát triển để trƣờng học tập, xây dựng, hồn thiện kiểm sốt hệ thống bảo mật, từ xin đánh giá cấp giấy chứng nhận ISO 70 TÀI LIỆU THAM KHẢO [1] Hạ tầng mạng phòng Đào tạo trƣờng Đại học Kinh tế - Luật (ĐHQG.HCM) [2] Quy chế đào tạo đại học cao đẳng theo hệ thống tín (Ban hành kèm theo Quyết định số 1368/ĐHQG-ĐH&SĐH ngày 21 tháng 11 năm 2008 Giám đốc Đại học Quốc gia Thành phố Hồ Chí Minh), Đại học Quốc Gia Thành phố Hồ Chí Minh, ngày 21/11/2008 [3] Quy trình quản lý điểm, đề thi phòng Đào tạo trƣờng Đại học Kinh tế - Luật (ĐHQG.HCM) [4] Quy định việc đảm bảo an tồn thơng tin mơi trƣờng máy tính mạng máy tính (Ban hành kèm theo định số 2615/QĐ-BTC ngày 19 tháng 12 năm 2012 Bộ trƣởng Bộ Tài chính), Bộ tài Chính, ngày 19/12/2012 [5] Tài liệu phân tích thiết kế giải pháp đảm bảo an ninh thông tin hệ thống Công ty phần mềm truyền thơng VASC Tổng cơng ty bƣu viễn thông Việt Nam [6] Tiêu chuẩn quốc gia TCVN ISO/IEC 27001:2009 ISO 27001:2005 Công nghệ thông tin - Hệ thống quản lý an tồn thơng tin - Các u cầu (Information technology - Information security mannagement system - Requirements) [7] Tiêu chuẩn quốc gia TCVN ISO/IEC 27002:2005 Công nghệ thông tin - Các kỹ thuật an toàn - Quy tắc thực hành quản lý an tồn thơng tin (Information technology - Security techniques - Code of practice for information security management) [8] PGS.TS Đặng Trần Khánh Class Lecture, Topic: “Information Security for Mannagers” Facultyof Computer Science & Engieering, HCM University of Technology, Viet Nam Semester 1”, 2012/2013 [9] Võ Thị Hồng Diễm Xây dựng sách an ninh thơng tin theo chuẩn ISO 27001 cho trƣờng Cao đẳng giao thông vận tải III, Luận văn Thạc sĩ, Trƣờng Đại học Bách Khoa Tp.HCM, 2012 [10] Alan Calder, Information Security based on ISO 27001/ISO 27002: A Management Guide (Best Practice), First impression edition, July 29, 2009 71 [11] ISO/IEC 27001:2005(E): “Information technology - Security techniques Information security management system - Requirements”, first edition, October 15, 2005 [12] ISO/IEC 17799:2005(E): “Information technology - Security techniques - Code of practice for information security management”, first edition, June 15, 2005 72 LÝ LỊCH TRÍCH NGANG Họ tên: Nguyễn Văn Tuyên Ngày, tháng, năm sinh: 13/12/1988 Nơi sinh: Hải Dƣơng Địa liên lạc: 226, Tổ 4, Ấp 3, Xã Phƣớc Thái, Huyện Long Thành, Tỉnh Đồng Nai QUÁ TRÌNH ĐÀO TẠO (Bắt đầu từ đại học đến nay) - 2006 - 2010: Sinh viên ngành Hệ thống thông tin quản lý, Trƣờng Đại học Kinh tế - Luật (ĐHQG-HCM) - 2012 - 2014: Học viên cao học ngành Hệ thống thông tin quản lý, Trƣờng Đại học Bách Khoa Thành phố Hồ Chí Minh (ĐHQG-HCM) Q TRÌNH CƠNG TÁC (Bắt đầu từ làm đến nay) - 2010 - 2011: Quản lý chất lƣợng sản phẩm công ty Myung Sung Việt Nam - 2011 - Nay: Chuyên viên phòng Đào tạo, Trƣờng Đại học Kinh tế Luật (ĐHQG-HCM) 73 ... trạng hệ thống bảo mật phòng Đào tạo trƣờng Đại học Kinh tế - luật (ĐHQG .HCM) - Chƣơng 5: Đánh giá hệ thống bảo mật phòng Đào tạo trƣờng Đại học Kinh tế luật (ĐHQG .HCM) theo chuẩn ISO 27001: 2005... trạng hệ thống bảo mật phòng Đào tạo trƣờng Đại học Kinh tế - Luật (ĐHQG .HCM) Đánh giá hệ thống bảo mật phòng Đào tạo trƣờng Đại học Kinh tế - Luật - (ĐHQG .HCM) theo chuẩn ISO 27001 ABSTRACT... tiêu chuẩn ISO 27001 để tham khảo, làm đánh giá hệ thống bảo mật Khảo sát trạng hệ thống bảo mật phòng Đào tạo trƣờng Đại học Kinh tế - - Luật (ĐHQG .HCM) Đánh giá hệ thống bảo mật phòng Đào tạo

Ngày đăng: 27/01/2021, 00:09

TỪ KHÓA LIÊN QUAN

TÀI LIỆU CÙNG NGƯỜI DÙNG

TÀI LIỆU LIÊN QUAN