Giải pháp Mức độ cần thiết Tổng điểm Xếp thứ Rất cần
thiết Cần thiết Ít cần thiết
Không cần thiết
1 148/37 69 0 0 217 2
2 240/60 0 0 0 240 1
3 100/25 60/20 10/5 10/10 180 3
Bảng 3.4: Kết quả đánh giá tính khả thi của các giải pháp Giải Giải pháp Mức độ khả thi Tổng điểm Xếp thứ Rất khả
thi Khả thi Ít khả thi
Không khả thi
1 112/28 75/25 7 0 194 2
2 156/39 39/13 16/8 0 211 1
3 44/11 6/2 36/18 12/12 194 3
Kết luận: Thông qua việc đánh giá tính khả thi và cần thiết của các giải pháp
chúng ta có thể nhận định đƣợc HSB đặt yếu tố rất quan trọng trong quá trình đảm bảo ATTT và ANM, bên cạnh đó rất cần thiết phải áp dụng một bộ công cụ để đánh giá công tác này tại HSB.
3.2 Xây dựng hệ thống ATTT theo ISO 27001
Tiêu chuẩn quốc tế ISO/IEC 27001:2005 ―Công nghệ thông tin – Các phƣơng pháp bảo mật – Hệ thống quản lý an toàn thông tin – Các yêu cầu‖ (―Information Technology – Security techniques – Information security management system – Requirements‖) đƣợc
ban hành vào tháng 10/2005 và đƣợc xây dựng dựa trên nội dung tiêu chuẩn Anh BS 7799- 2:2002 do Viện Tiêu chuẩn Anh ban hành năm 2002. (19)
Tiêu chuẩn quốc tế này đƣợc chuẩn bị để đƣa ra một mô hình cho việc thiết lập, triển khai, điều hành, giám sát, xem xét, bảo trì và nâng cấp hệ thống quản lý an toàn thông tin - Information Security Management System (ATTT). Việc chấp nhận một hệ thống quản lý ATTT sẽ là một quyết định chiến lƣợc của tổ chức. Thiết kế và triển khai hệ thống quản lý an toàn thông tin của một tổ chức phụ thuộc vào các nhu cầu và mục tiêu khác nhau, các yêu cầu về an toàn cần phải đạt, các quy trình đang đƣợc sử dụng và quy mô, cấu trúc của tổ chức. Các điều này và các hệ thống hỗ trợ cần luôn đƣợc cập nhật và thay đổi. Việc đầu tƣ và triển khai một hệ thống quản lý ATTT cần phải có tỷ trọng phù hợp với nhu cầu của tổ chức. Tiêu chuẩn này có thể sử dụng để đánh giá sự tuân thủ của các bộ phận bên trong tổ chức cũng nhƣ các bộ phận liên quan bên ngoài tổ chức.
- PHẠP VI ÁP DỤNG
Tiêu chuẩn này hƣớng tới việc áp dụng rộng rãi cho nhiều loại hình tổ chức khác nhau (ví dụ: tổ chức thƣơng mại, cơ quan nhà nƣớc, các tổ chức phi lợi nhuận v.v…). Nội dung tiêu chuẩn chỉ rõ yêu cầu cho từng quá trình: thiết lập, triển khai, điều hành, giám sát, xem xét, bảo trì và nâng cấp một hệ thống quản lý ATTT để đảm bảo an toàn thông tin trƣớc những tất cả các rủi ro có thể xảy ra với tổ chức. Tiêu chuẩn này cũng chỉ rõ các yêu cầu khi triển khai các biện pháp bảo vệ an toàn đã đƣợc chọn lọc phù hợp với nhu cầu của tổ chức hoặc một bộ phận của tổ chức.
- CÁCH TIẾP CẬN THEO QUY TRÌNH
Tiêu chuẩn này khuyến khích việc chấp nhận cách tiếp cận theo quy trình khi thiết lập, triển khai, điều hành, giám sát, xem xét, bảo trì và nâng cấp hệ thống quản lý ATTT của tổ chức.
Một tổ chức cần xác định và quản lý rất nhiều hoạt động để vận hành một cách hiệu quả. Bất cứ hoạt động nào sử dụng các tài nguyên và quản lý việc tiếp nhận các đầu vào chuyển hóa thành đầu ra có thể coi nhƣ một quy trình. Thông thƣờng đầu ra của một quy trình này là đầu vào của một quy trình tiếp theo. Việc áp dụng một hệ thống các quy trình trong tổ chức, cùng với sự nhận biết tƣơng tác giữa các quy trình nhƣ vậy, và sự quản lý chúng, có thể coi nhƣ ―cách tiếp cận theo quy trình‖.
Cách tiếp cận theo quy trình cho quản lý an toàn thông tin đƣợc trình bày trong tiêu chuẩn này nhằm khuyến khích ngƣời sử dụng nhấn mạnh các điểm quan trọng của:
a) Việc hiểu các yêu cầu an toàn thông tin của tổ chức và sự cần thiết phải thiết lập chính sách và mục tiêu cho an toàn thông tin.
b) Việc triển khai và điều hành các biện pháp để quản lý rủi ro an toàn thông tin của tổ chức trƣớc tất cả các rủi ro chung có thể xảy ra với tổ chức.
c) Việc giám sát và xem xét lợi ích và hiệu quả của hệ thống quản lý ATTT. d) Thƣờng xuyên nâng cấp dựa trên các khuôn khổ mục tiêu đã đặt ra.
e) Tiêu chuẩn này thông qua mô hình ―Lập kế hoạch – Thực hiện – Kiểm tra và Hành động‖ (PDCA) để áp dụng cho tất cả các quy trình trong hệ thống quản lý ATTT. Hình 3.4 mô tả cách hệ thống quản lý ATTT lấy đầu vào là các yêu cầu và kỳ vọng về bảo mật thông tin của các bên thứ ba, sau khi tiến hành các quy trình xử lý cần thiết sẽ đáp ứng an toàn thông tin theo nhƣ các yêu cầu và kỳ vọng đã đặt ra.