Bảng 3.5: Các bƣớc thực hiện triển khai ISO 27001
P (Lập kế hoạch) - Thiết lập ATTT
Thiết lập các chính sách, mục tiêu, quy trình và thủ tục liên quan đến việc quản lý các rủi ro và nâng cao an toàn thông tin nhằm đem lại các kết quả phù hợp với các chính sách và mục tiêu chung của tổ chức.
D (Thực hiện) - Triển khai và điều hành ATTT
Cài đặt và vận hành các chính sách, biện pháp quản lý,quy trình và thủ tục của hệ thống quản lý ATTT.
C (Kiểm tra) - Giám sát và xem xét ATTT
Xác định hiệu quả việc thực hiện quy trình dựa trên chính sách, mục tiêu mà hệ thống quản lý ATTT đã đặt ra, kinh nghiệm thực tiễn và báo cáo kết quả cho việc xem xét của ban quản lý. A (Hành động) - Duy trì
và nâng cấp ATTT
Tiến hành các biện pháp hoàn thiện và bảo vệ dựa trên cáckết quả của việc kiểm toán nội bộ hệ thống quản lý ATTT, xem xét của ban quản lý hoặc các thông tin liên quan khác nhằm liên tục hoàn thiện hệ thống quản lý ATTT.
3.2.1 Một số khái niệm trong ISO 27001
a) Tài sản: Là bất cứ gì có giá trị đối với tổ chức.
b) Tính sẵn sàng: Tính chất đảm bảo mọi thực thể đƣợc phép có thể truy cập và sử dụng
theo yêu cầu.
c) Tính bí mật: Tính chất đảm bảo thông tin không sẵn sàng và công khai đối với các cá
nhân, thực thể và các tiến trình không đƣợc phép.
d) An toàn thông tin: Sự duy trì tính bí mật, tính toàn vẹn và tính sẵn sàng của thông tin,
ngoài ra có thể bao hàm tính chất xác thực, kiểm soát, chống chối bỏ và tin cậy.
e) Sự kiện an toàn thông tin: Sự kiện xác định xảy ra trong một hệ thống, một dịch vụ
hay một trạng thái mạng chỉ ra sự vi phạm chính sách an toàn thông tin, sự thất bại của hệ thống bảo vệ hoặc một tình huống bất ngờ liên quan đến an toàn.
f) Sự cố an toàn thông tin: Một hoặc một chuỗi các sự kiện an toàn thông tin không
mong muốn có khả năng làm tổn hại các hoạt động của cơ quan tổ chức và đe dọa an toàn thông tin.
g) Hệ thống quản lý an toàn thông tin: Hệ thống quản lý an toàn thông tin là một phần
hoạt động của tổ chức để thiết lập, triển khai, điều hành, giám sát, xem xét, bảo trì và nâng cấp ATTT.
h) Tính toàn vẹn: Tính chất đảm bảo sự chính xác và sự toàn vẹn của các tài sản.
i) Rủi ro tồn đọng: Các rủi ro còn lại sau quá trình xử lý rủi ro.
j) Sự chấp nhận rủi ro: Quyết định chấp nhận sự tồn tại một rủi ro.
k) Phân tích rủi ro: Sử dụng thông tin một cách có hệ thống nhằm xác định các nguồn
gốc và đánh giá rủi ro.
l) Đánh giá rủi ro: Quá trình so sánh rủi ro đã đƣợc dự đoán với chỉ tiêu rủi ro đã có
nhằm xác định mức độ nghiêm trọng của rủi ro.
m) Quản lý rủi ro: Các hoạt động phối hợp nhằm điều khiển và quản lý một tổ chức trƣớc
các rủi ro có thể xảy ra.
n) Xử lý rủi ro: Quá trình lựa chọn và triển khai các biện pháp hạn chế rủi ro.
o) Thông báo áp dụng: Thông báo đƣợc biên soạn nhằm mô tả mục tiêu quản lý và biện pháp
quản lý thích hợp áp dụng cho hệ thống quản lý ATTT của tổ chức. Các mục tiêu quản lý và biện pháp quản lý đƣợc xây dựng dựa trên các kết quả tổng kết của việc đánh giá rủi ro, các quá trình xử lý rủi ro, các yêu cầu hay chế tài về pháp lý, các ràng buộc và các yêu cầu trong hoạt động nghiệp vụ của tổ chức để đảm bảo an toàn thông tin.
p) Tổ chức: Tổ chức (TC) là hình thức tập hợp, liên kết các thành viên trong xã hội (cá
nhân, tập thể) nhằm đáp ứng yêu cầu, nguyện vọng, lợi ích của các thành viên, cùng nhau hành động vì mục tiêu chung. (20)
3.2.2 Thiết lập và quản lý hệ thống an toàn thông tin
Để thiết lập hệ thống quản lý ATTT, tổ chức cần thực hiện nhƣ sau:
3.2.2.1 Phạm vi và giới hạn của hệ thống ATTT
Định nghĩa phạm vi và giới hạn của hệ thống quản lý ATTT theo các mặt: đặc thù công việc, sự tổ chức, địa điểm, các tài sản và công nghệ, đồng thời bao gồm cả các thông tin chi tiết và lý do nếu loại bỏ yêu cầu khỏi phạm vi áp dụng.
3.2.2.2 Chính sách triển khai hệ thống quản lý ATTT
Vạch rõ chính sách triển khai hệ thống quản lý ATTT theo các mặt: đặc thù công việc, sự tổ chức, địa điểm, các tài sản và công nghệ mà trong đó:
a) Bao gồm khuôn khổ để xây dựng mục tiêu, thiết lập định hƣớng và nguyên tắc cho việc đảm bảo an toàn thông tin.
b) Chú ý đến các hoạt động nghiệp vụ, pháp lý, quy định và các điều khoản bắt buộc về bảo mật.
c) Đƣa vào các yêu cầu kinh doanh, các yêu cầu và chế tài về pháp lý cũng nhƣ các nghĩa vụ về an toàn an ninh có trong hợp đồng.
d) Thực hiện sự thiết lập và duy trì hệ thống quản lý ATTT nhƣ một phần trong chiến lƣợc quản lý rủi ro của tổ chức.
e) Thiết lập các chỉ tiêu đánh giá rủi ro có thể xảy ra
f) Đƣợc ban quản lý phê duyệt. Để đạt đƣợc mục tiêu của tiêu chuẩn này, chính sách triển khai hệ thống quản lý ATTT đƣợc xem xét nhƣ là một danh mục đầy đủ các chính sách an toàn thông tin. Các chính sách này có thể đƣợc mô tả trong cùng một tài liệu.
3.2.2.3 Phương pháp tiếp cận đánh giá rủi ro
Xác định phƣơng pháp tiếp cận đánh giá rủi ro của tổ chức
a) Xác định hệ phƣơng pháp đánh giá rủi ro thích hợp với hệ thống quản lý ATTT, và các quy định, pháp lý, an toàn bảo mật thông tin đã xác định.
b) Phát triển chỉ tiêu cho các rủi ro có thể chấp nhận và vạch rõ các mức rủi ro có thể chấp nhận đƣợc
c) Hệ phƣơng pháp đánh giá rủi ro đƣợc lựa chọn sẽ đảm bảo các đánh giá rủi ro đƣa ra các kết quả có thể so sánh và tái tạo đƣợc.
d) Có nhiều hệ phƣơng pháp đánh giá rủi ro khác nhau. Ví dụ về các hệ phƣơng pháp đánh giá rủi ro đƣợc nêu ra trong tài liệu ISO/IEC TR 13335-3 ―Information technology- Guidelines for the management of IT Security – Techniques for the management of IT Security‖. (21)
3.2.2.4 xác định rủi ro
a) Xác định các tài sản trong phạm vi hệ thống quản lý ATTT và đối tƣợng quản lý các tài sản này.
b) Xác định các mối đe doạ có thể xảy ra đối với tài sản.
c) Xác định các yếu điểm có thể bị khai thác bởi các mối đe doạ trên.
d) Xác định những tác động xấu tới các tính chất quan trọng của tài sản cần bảo đảm: bí mật, toàn vẹn và sẵn sàng.
3.2.2.5 Phân tích đánh giá các rủi ro
a) Đánh giá các ảnh hƣởng hoạt động của tổ chức do sự cố về an toàn thông tin, chú ý đến các hậu quả của việc mất tính bí mật, toàn vẹn hay sẵn sàng của các tài sản.
b) Đánh giá các khả năng thực tế có thể xảy ra sự cố an toàn thông tin bắt nguồn từ các mối đe dọa và nguy cơ đã dự đoán. Đồng thời đánh giá các tác động tới tài sản và các biện pháp bảo vệ đang thực hiện.
c) Ƣớc lƣợng các mức độ của rủi ro.
d) Xác định rủi ro đƣợc chấp nhận hay phải có biện pháp xử lý dựa trên các chỉ tiêu chấp nhận rủi ro đã đƣợc thiết lập
3.2.2.6 xác định và đánh giá các lựa chọn cho việc xử lý rủi ro
Các hoạt động có thể thực hiện:
a) Áp dụng các biện pháp quản lý thích hợp.
b) Chấp nhận rủi ro với điều kiện chúng hoàn toàn thỏa mãn các chính sách và tiêu chuẩn chấp nhận rủi ro của tổ chức
c) Tránh các rủi ro.
d) Chuyển giao các rủi ro các bộ phận khác nhƣ bảo hiểm, nhà cung cấp v.v...
3.2.2.7 Lựa chọn các mục tiêu quản lý và biện pháp quản lý
Các mục tiêu quản lý và biện pháp quản lý sẽ đƣợc lựa chọn và thực hiện để đáp ứng các yêu cầu đƣợc xác định bởi quá trình xử lý rủi ro và đánh giá rủi ro. Sự lựa chọn này sẽ xem xét đến tiêu chuẩn chấp nhận rủi ro cũng nhƣ các yêu cầu về pháp lý, quy định và cam kết phải tuân thủ.
Các mục tiêu quản lý và biện pháp quản lý trong phụ lục ISO2700 có thể đƣợc lựa chọn nhƣ là một phần thích hợp để bảo đảm các yêu cầu đã xác định.
Các yêu cầu quản lý và biện pháp quản lý trong các phụ lục ISO2700 là chƣa thực sự đầy đủ. Tùy trƣờng hợp có thể lựa chọn thêm các mục tiêu quản lý và biện pháp quản lý cần thiết khác. Phụ lục ISO2700 là một danh sách bao gồm nhiều mục tiêu quản lý và biện pháp quản lý một cách toàn diện có khả năng thích hợp đối với nhiều tổ chức. Ngƣời sử dụng tiêu chuẩn quốc tế này có thể sử dụng phụ lục ISO2700 nhƣ là điểm khởi đầu trong việc lựa chọn biện pháp quản lý để không có các biện pháp quan trọng bị bỏ sót.
3.2.2.8 Chuẩn bị thông báo áp dụng
a) Các mục tiêu quản lý và biện pháp quản lý đã đƣợc lựa chọn trong mục và các cơ sở tiến hành lựa chọn.
b) Các mục tiêu quản lý và biện pháp quản lý đang đƣợc thực hiện.
c) Sự loại trừ các mục tiêu quản lý và biện pháp quản lý trong phụ lục ISO2700 cũng nhƣ giải trình cho việc này.
Thông báo này cung cấp thông tin tóm tắt cho các quyết định liên quan đến việc xử lý rủi ro. Việc giải trình các biện pháp và mục tiêu quản lý trong phụ lục A không đƣợc sử dụng nhằm tránh khả năng bỏ sót.
3.2.3 Triển khai và điều hành hệ thống an toàn thông tin
Quá trình triển khai và điều hành hệ thống quản lý ATTT đòi hỏi thực hiện nhƣ sau: a) Lập kế hoạch xử lý rủi ro trong đó xác định các hoạt động quản lý thích hợp, tài
nguyên, trách nhiệm và mức độ ƣu tiên để quản lý các rủi ro an toàn thông tin . b) Triển khai kế hoạch xử lý rủi ro nhằm đạt đƣợc mục tiêu quản lý đã xác định trong
đó bao gồm cả sự xem xét kinh phí đầu tƣ cũng nhƣ phân bổ vai trò, trách nhiệm. c) Triển khai các biện pháp quản lý đƣợc lựa chọn trong để thỏa mãn các mục tiêu
quản lý.
d) Định nghĩa cách tính toán mức độ hiệu quả của các biện pháp quản lý hoặc nhóm các biện pháp quản lý đã lựa chọn và chỉ ra các kết quả này sẽ đƣợc sử dụng nhƣ thế nào trong việc đánh giá tính hiệu quả quản lý nhằm tạo ra những kết quả có thể so sánh đƣợc và tái tạo đƣợc.
e) Triển khai các chƣơng trình đào tạo nâng cao nhận thức. f) Quản lý hoạt động hệ thống quản lý ATTT.
g) Quản lý các tài nguyên dành cho hệ thống quản lý ATTT.
h) Triển khai các thủ tục và các biện pháp quản lý khác có khả năng phát hiện các sự kiện an toàn thông tin cũng nhƣ phản ứng với các sự cố an toàn thông tin.
3.2.4 Giám sát hệ thống an toàn thông tin
Tổ chức thực hiện các biện pháp sau đây:
a) Tiến hành giám sát, xem xét lại các thủ tục và biện pháp quản lý an toàn thông tin khác nhằm:
Nhanh chóng phát hiện ra các lỗi trong kết quả xử lý.
Cho phép ban quản lý xác định kết quả các công nghệ cũng nhƣ con ngƣời đã đem lại có đạt mục tiêu đề ra hay không.
Hỗ trợ phát hiện các sự kiện an toàn thông tin do đó ngăn chặn sớm các sự cố an toàn thông tin bằng các chỉ thị cần thiết.
Xác định đúng hiệu quả của các hoạt động xử lý lỗ hổng an toàn thông tin. b) Thƣờng xuyên kiểm tra, xem xét hiệu quả của hệ thống quản lý ATTT (bao gồm
việc xem xét tính phù hợp giữa chính sách, các mục tiêu quản lý và xem xét việc thực hiện các biện pháp quản lý an toàn thông tin) trong đó xem xét đến các kết quả kiểm tra an toàn bảo mật, các sự cố đã xảy ra, kết quả tính toán hiệu quả, các đề xuất, kiến nghị cũng nhƣ các thông tin phản hồi thu thập đƣợc.
c) Tính toán hiệu quả của các biện pháp quản lý đã thỏa mãn các yêu cầu về bảo đảm ATTT. d) Xem xét lại các đánh giá rủi ro đã tiến hành đồng thời xem xét các rủi ro đƣợc bỏ qua
cũng nhƣ mức độ rủi ro có thể chấp nhận đƣợc. Trong đó lƣu ý các thay đổi trong:
Tổ chức.
Công nghệ.
Mục tiêu và các quá trình nghiệp vụ.
Các mối nguy hiểm, đe doạ an toàn thông tin đã xác định.
Tính hiệu quả của các biện pháp quản lý đã thực hiện.
Các sự kiện bên ngoài chẳng hạn nhƣ thay đổi trong môi trƣờng pháp lý, quy định, điều khoản phải tuân thủ, hoàn cảnh xã hội.
e) Thực hiện việc kiểm tra nội bộ hệ thống quản lý ATTT một cách định kỳ. Kiểm tra nội bộ đôi khi còn đƣợc gọi là kiểm tra sơ bộ và đƣợc tự thực hiện.
f) Đảm bảo thƣờng xuyên kiểm tra việc quản lý hệ thống quản lý ATTT để đánh giá mục tiêu đặt ra có còn phù hợp cũng nhƣ nâng cấp các và đã xác định các nâng cấp cần thiết cho hệ thống quản lý ATTT
g) Cập nhật kế hoạch bảo đảm an toàn thông tin theo sát thay đổi của tình hình thực tế thu đƣợc qua các hoạt động giám sát và đánh giá.
h) Ghi chép, lập tài liệu về các sự kiện và hoạt động có khả năng hƣởng đến tính hiệu quả hoặc hiệu lực của hệ thống quản lý ATTT
3.2.5 Duy trì và nâng cấp hệ thống quản lý ATTT
Tổ chức cần thƣờng xuyên thực hiện:
b) Tiến hành hoàn chỉnh và có các biện pháp phòng ngừa thích hợp. Chú ý vận dụng kinh nghiệm đã có và tham khảo từ các tổ chức khác.
c) Thông báo và thống nhất với các thành phần liên quan về các hoạt động và sự nâng cấp của hệ thống quản lý ATTT.
d) Đảm bảo việc thực hiện nâng cấp phải phù hợp với các mục tiêu đã đặt ra.
3.2.6 Các yêu cầu của hệ thống tài liệu
3.2.6.1 Khai quát
Tài liệu bao gồm tập hợp các hồ sơ xử lý nhằm đảm bảo cho phép: truy lại đƣợc các quyết định xử lý, chính sách và đảm bảo rằng các kết quả ghi nhận là có thể tái tạo lại đƣợc. Điều quan trọng là cần nêu rõ đƣợc sự liên quan giữa các biện pháp quản lý đã chọn với kết quả của các quy trình đánh giá và xử lý rủi ro cũng nhƣ với các chính sách và mục tiêu của hệ thống quản lý ATTT đã đƣợc đặt ra.
Các tài liệu của hệ thống quản lý ATTT bao gồm:
a) Các thông báo về chính sách và mục tiêu của hệ thống quản lý ATTT. b) Phạm vi của hệ thống quản lý ATTT.
c) Các thủ tục và biện pháp quản lý hỗ trợ cho hệ thống quản lý ATTT. d) Mô tả hệ phƣơng pháp đánh giá rủi ro.
e) Báo cáo đánh giá rủi ro. f) Kế hoạch xử lý rủi ro.
g) Các thủ tục dạng văn bản của tổ chức để có thể đảm bảo hiệu quả của kế hoạch, sự