Quản lý ATTT

Một phần của tài liệu Bài giảng thương mại điện tử căn bản (Trang 116 - 118)

4.1.3.a. Khái niệm

Quản lý ATTT là mọi biện pháp kỹ thuật và phi kỹ thuật của một tổ chức để bảo vệ thông tin và HTTT chống lại các hành vi tấn công, đảm bảo tuân thủ các tiêu chuẩn ATTT và các quy định pháp luật về ATTT.

4.1.3.b. Các nội dung cơ bản quản lý ATTT

Quản lý ATTT bao gồm các nội dung cơ bản sau:

- Chính sách, chiến lược, kế hoạch triển khai ATTT tại tổ chức, gồm: xu thế phát triển ATTT; Phát triển của công nghệ trong ATTT; Những quy định pháp luật và chính sách ATTT.

- Triển khai các biện pháp bảo đảm ATTT, gồm: Phát hiện và phân loại các hành vi tấn công mạng; Phân loại tài sản thông tin; Các biện pháp đảm bảo ATTT cho dữ liệu, hệ thống, mạng và môi trường vận hành; Theo dõi, giám sát hoạt động bảo đảm ATTT.

- Hợp chuẩn ATTT, gồm: Các yêu cầu về chuẩn hóa; Các tiêu chuẩn ATTT bắt buộc áp dụng trong thiết kế, cài đặt, vận hành, đánh giá ATTT (cho phần cứng, phần mềm, các thành phần, hệ thống, các ứng dụng...); Hệ thống các tiêu chuẩn ATTT; Kiểm tra, đánh giá, hợp chuẩn ATTT.

- Phát triển và vận hành hệ thống quản lý ATTT, gồm: Phân tích, đánh giá rủi ro ATTT; Quản lý và xử lý rủi ro; Xây dựng và triển khai hệ thống quản lý ATTT; Quản lý và phản ứng, xử lý sự cố ATTT; Khắc phục sự cố và khôi phục hệ thống ATTT; Điều tra theo

115 vết sự cố; Phương án dự phòng và duy trì hoạt động liên tục.

Các qui định về quản lý ATTT có trong bộ tiêu chuẩn của ISO/IEC 27000, ví dụ điển hỉnh là ISO/IEC 27001, ISO/IEC 27002, ISO/IEC 27003, ISO/IEC 27005.

4.1.3.c. Quy trình thiết lập, triển khai, điều hành, giám sát, soát xét, duy trì và cải tiến hệ thống quản lý ATTT (ISMS:Information security management system) của tổ chức

Trong tiêu chuẩn quốc gia TCVN ISO/IEC 27001:2009 (ISO/IEC 27001:2005) về CNTT - Hệ thống quản lí ATTT - Các yêu cầu có giới thiệu mô hình cho việc thiết lập, triển khai, điều hành, giám sát, soát xét, duy trì và cải tiến ISMS của tổ chức. ISO gọi đây là tiếp cận theo qui trình nhằm khuyến khích người sử dụng nhấn mạnh các điểm quan trọng của việc hiểu các yêu cầu ATTT của tổ chức và các sự cần thiết phải thiết lập chính sách và mục tiêu cho ATTT, việc triển khai và điều hành các biện pháp quản lý rủi ro ATTT của tổ chức trước tất cả các rủi ro chung có thể xảy ra với tổ chức, việc giám sát và soát xét hiệu suất và hiệu quả của hệ thống ISMS và việc thường xuyên cải tiến dựa trên các khuôn khổ mục tiêu đã đặt ra.

Tiêu chuẩn này chấp nhận mô hình “Lập kế hoạch - Thực hiện - Kiểm tra - Hành động” (PDCA) để áp dụng cho tất cả các quy trình trong hệ thống ISMS. Hình 4.2 mô tả cách hệ thống ISMS lấy đầu vào là các yêu cầu và kỳ vọng về ATTT của các bên liên quan, sau khi tiến hành các quy trình và hành động cần thiết sẽ đáp ứng ATTT theo như các yêu cầu và kỳ vọng đã đặt ra. Hình 4.2 cũng chỉ ra các liên hệ giữa các quy trình được biểu diễn trong các điều 4, 5, 6, 7 và 8 của tiêu chuẩn.

Hình 4. 2 Áp dụng qui trình PDCA cho các quy trình hệ thống quản lý ATTT28

P (Lập kế hoạch) - Thiết lập ISMS

Thiết lập các chính sách, mục tiêu, quy trình và thủ tục liên quan đến việc quản lý các rủi ro và nâng cao ATTT nhằm đem lại các kết quả phù hợp với các chính sách và mục tiêu

116 chung của tổ chức.

D (Thực hiện) - Triển khai và điều hành ISMS

Triển khai và vận hành các chính sách, biện pháp quản lý, quy trình và thủ tục của hệ thống ISMS.

C (Kiểm tra) - giám sát và soát xét ISMS

Xác định hiệu quả việc thực hiện quy trình dựa trên chính sách, mục tiêu mà hệ thống ISMS đã đặt ra và kinh nghiệm thực tiễn và báo cáo kết quả cho ban quản lý để soát xét.

A (Hành động) - Duy trì và cải tiến ISMS

Tiến hành các hành động khắc phục và hành động phòng ngừa dựa trên các kết quả của việc kiểm toán nội bộ hệ thống ISMS, soát xét của ban quản lý hoặc các thông tin liên quan khác nhằm liên tục hoàn thiện hệ thống ISMS.

Một phần của tài liệu Bài giảng thương mại điện tử căn bản (Trang 116 - 118)

(169 trang)