2. TỔNG QUAN NHỮNG PHƯƠNG PHÁP QUẢN TRỊ, ĐÁNHGIÁ CNTT HIỆN NAY VÀ ƯU
2.3Phương pháp quản trị và đánhgiá ISO 17799
2.3.1 Giới thiệu về ISO 17799
ISO (Tổ chức tiêu chuẩn quốc tế) và IEC (Hội đồng kỹ thuật quốc tế) là tổ chức thiết lập các hệ thống tiêu chuẩn trên toàn cầu. Các quốc gia là các thành viên của ISO và IEC tham gia vào sự phát triển chung của các chuẩn quốc tế thông qua các ủy ban được thiết lập bởi các tổ chức tương ứng nhằm giải quyết các lĩnh vực
CHƯƠNG II: VỊ THẾ CỦA COBIT GIỮA NHỮNG PHƯƠNG PHÁP QUẢN TRỊ VÀ ĐÁNH GIÁ HIỆN NAY
cụ thể về kỹ thuật. ISO và IEC phối hợp trong các lĩnh vực liên quan đến lợi ích của nhau. Các tổ chức quốc tế khác trong mối quan hệ với ISO, IEC, thuộc chính phủ cũng như phi chính phủ.
Các chuẩn quốc tế được dự thảo nhằm phù hợp với các quy tắc đã đưa ra trong ISO/IEC. Trong lĩnh vực công nghệ thông tin, ISO và IEC đã thiết lập một hội đồng kỹ thuật chung ISO/IEC JTC 1. Bản dự thảo chuẩn quốc tế ISO/IEC đã được chấp nhận bởi hội đồng kỹ thuật chung được đưa đến các quốc gia để bầu cử. Sự xuất bản như một chuẩn quốc tế yêu cầu sự chấp thuận chung của ít nhất là 75% các quốc gia.
ISO và IEC sẽ không được nắm giữ các trách nhiệm cho việc phát triển và các quyền sáng chế. Chuẩn quốc tế ISO/IEC 17799 được chuẩn bị bởi Viện tiêu chuẩn Anh (cụ thể là BS 7799) và được chấp nhận dưới một "thủ tục lối mòn" (fast-track procedure) bởi Hội đồng kỹ thuật chung ISO/IEC JTC 1, Công nghệ thông tin, song song với sự phê chuẩn từ các quốc gia trong các tổ chức ISO và IEC.
2.3.2 Tư tưởng của ISO là sự duy trì
Tư tưởng của ISO thể hiện qua những đặc tính yêu cầu thông tin, khi đạt được những yêu cầu đó nghĩa là đảm bảo được sự hoạt động liên tục và duy trì mức độ điều khiển sử dụng và an toàn thông tin.
Tính mật: đảm bảo thông tin chỉ được truy cập bởi những truy cập cho phép. Quản lý thông tin một cách chặt chẽ, phân quyền và kiểm soát việc truy suất thông tin. Không để mất mát thông tin.
Tính toàn vẹn: bảo vệ tính chính xác, đầy đủ của thông tin cũng như các phương pháp xử lý. Đảm bảo thông tin khi cần là có, hoạt động mới tiến hành liên tục được.
CHƯƠNG II: VỊ THẾ CỦA COBIT GIỮA NHỮNG PHƯƠNG PHÁP QUẢN TRỊ VÀ ĐÁNH GIÁ HIỆN NAY
Sẵn sàng: đảm bảo những người dùng hợp pháp mới được truy cập các thông tin và tài sản liên quan khi có yêu cầu. Mọi hoạt động đều được duy trì, sẵn sàng hoạt động bất cứ khi nào.
An toàn thông tin đạt được bằng cách triển khai tập hợp các nguyên tắc quản lý phù hợp, đó có thể là các chính sách, các nguyên tắc, các thủ tục, các cơ cấu tổ chức và các chức năng phần mềm. Các nguyên tắc quản lý này cần được thiết lập nhằm đưa ra được đầy đủ các đối tượng của tổ chức cần được bảo vệ.
2.3.3 Định giá các rủi ro về an toàn
Các yêu cầu về an toàn thông tin được xác định bằng phương pháp định giá các rủi ro về an toàn. Vấn đề chi phí trên các sự kiểm soát cần được cân nhắc kỹ lưỡng đối với sự thiệt hại trong kinh doanh do sự mất đi tính an toàn. Các kỹ thuật định giá rủi ro có thể được áp dụng trong tổ chức, hoặc chỉ một bộ phận của tổ chức, như các hệ thống thông tin cá nhân, các thành phần hệ thống xác định hoặc các dịch vụ, … mang tính chất khả thi, thực tế và hữu ích.
Đánh giá rủi ro là một vấn đề có tính chất hệ thống của:
Kết quả của việc đánh giá sẽ hướng dẫn và xác định các hành động quản lý tương ứng và mức độ ưu tiên cho vấn đề quản lý các rủi ro an toàn thông tin, và cho việc triển khai các quy tắc đã lựa chọn để bảo vệ các rủi ro này. Quá trình đánh giá các rủi ro và lựa chọn các quy tắc cần được thực hiện nhiều lần nhằm bao quát được toàn bộ các bộ phận khác nhau của tổ chức hoặc các hệ thống thông tin cá nhân.
Chọn lựa quy tắc:
Khi đã xác định được các yêu cầu về an toàn, cần bắt đầu bằng việc chọn lựa và triển khai các quy tắc nhằm giảm thiểu rủi ro tới mức có thể chấp nhận được. Có thể chọn lựa các quy tắc từ tài liệu này hoặc từ các tập quy tắc khác, hoặc có thể thiết kế các quy tắc mới sao cho phù hợp với yêu cầu đặt ra. Có nhiều cách
CHƯƠNG II: VỊ THẾ CỦA COBIT GIỮA NHỮNG PHƯƠNG PHÁP QUẢN TRỊ VÀ ĐÁNH GIÁ HIỆN NAY
để quản lý rủi ro và tài liệu này cung cấp cách tiếp cận chung qua các ví dụ. Tuy nhiên, điều cần thiết là phải nhận biết một số quy tắc không thể áp dụng cho mọi môi trường và hệ thống thông tin, và cũng có thể không thể áp dụng cho mọi tổ chức.
Xuất phát điểm của an toàn thông tin:
Nhiều quy tắc có thể xem là nguyên lý cung cấp xuất phát điểm tốt cho việc triển khai an toàn thông tin. Các quy tắc này hoặc là dựa trên các yêu cầu về luật pháp hoặc là được xem là nguyên tắc chung nhất cho vấn đề an toàn thông tin. Xuất phát từ quan điểm luật pháp, các quy tắc được coi là thiết yếu đối với một tổ chức.
Các nhân tố quyết định sự thành công:
Kinh nghiệm cho thấy rằng, các nhân tố dưới đây thường quyết định sự thành công trong việc triển khai vấn đề an toàn thông tin trong một tổ chức:
• Chính sách an toàn, các mục tiêu và hành động phản ánh mục đích của doanh nghiệp.
• Cách tiếp cận nhằm triển khai sự an toàn là phù hợp với văn hóa của tổ chức.
• Các sự hỗ trợ tâm huyết từ các nhà quản lý.
• Sự hiểu biết tốt về các yêu cầu an toàn thông tin, đánh giá rủi ro và quản lý rủi ro.
• Phổ biến vấn đề an toàn cho tất cả các nhà quản lý cũng như các nhân viên.
• Đưa ra các hướng dẫn về chính sách an toàn thông tin và các chuẩn cho mọi nhân viên cũng như các nhà thầu. (adsbygoogle = window.adsbygoogle || []).push({});
CHƯƠNG II: VỊ THẾ CỦA COBIT GIỮA NHỮNG PHƯƠNG PHÁP QUẢN TRỊ VÀ ĐÁNH GIÁ HIỆN NAY
• Sử dụng các hệ thống đánh giá sự thực hiện trong vấn đề quản lý an toàn thông tin phải có tính ổn định, tính toàn diện và đưa ra các đề xuất nhằm cải thiện tốt hơn.
Phát triển các nguyên tắc chỉ đạo:
Nguyên lý này có thể được xem như xuất phát điểm cho sự phát triển các đường lối/nguyên tắc chỉ đạo cho tổ chức. Không phải mọi nguyên tắc quản lý và chỉ đạo trong tập hợp các nguyên tắc này đều có thể áp dụng được. Hơn nữa, các sự quản lý không có trong tài liệu này cũng có thể hoàn toàn cần đến. Khi đó, điều này rất hữu ích làm các tham chiếu, tạo ra thuận lợi trong việc kiểm tra của các soạn giả và các doanh nghiệp.
2.3.4 Ưu nhược điểm của phương pháp ISO 17799
ISO 9001 là một tiêu chuẩn quốc tế về quản lý, các điều khoản gọi là “yêu cầu” quy định những điểm cần phải làm (what to do), nhưng không chỉ ra việc đó nên làm như thế nào (how to do). Những tiêu chuẩn của ISO có độ tin cậy cao áp dụng cho nhiều quy trình, ISO có sự đánh giá ở mức cao bao trùm hầu hết các phương pháp đánh giá khác, khả năng ứng dụng vì vậy rộng. Đạt được tiêu chuẩn ISO nghĩa là được cả thế giới công nhận. ISO có ưu điểm mạnh trong kiểm soát an toàn an ninh thông tin.
Nhược điểm ISO là không đưa ra hướng dẫn hay kinh nghiệm cụ thể, vì vậy cũng không gần gũi với bất cứ hoạt động cụ thể nào của doanh nghiệp, tổ chức. Những tiêu chí cũng có phần cứng nhắc.