Hệ thống quản lý ATTT (ISMS)

II. BÀI TẬP TÌNH HUỐNG

ĐẢM BẢO AN TỒN CHO HỆ THỚNG THÔNG TIN

6.2.1.2. Hệ thống quản lý ATTT (ISMS)

Theo tiêu chuẩn ISO/IEC 27001: 2013, thông tin và các hệ thống, quy trình, nhân sự liên quan đều là tài sản của tổ chức, tất cả các tài sản

thích hợp. Do thơng tin tồn tại và được lưu trữ dưới nhiều hình thức khác nhau, nên tổ chức phải có các biện pháp bảo vệ phù hợp để hạn chế rủi ro.

Bên cạnh những rủi ro về ATTT do bị tấn cơng phá hoại có chủ đích, tổ chức cũng có thể gặp phải những rủi ro đối với thơng tin nếu: Các quy trình quản lý, vận hành khơng đảm bảo; Việc quản lý quyền truy cập chưa được kiểm tra và xem xét định kỳ; Nhận thức của nhân viên trong việc sử dụng và trao đổi thông tin chưa đầy đủ... Do đó, ngoài các biện pháp kỹ thuật, tổ chức cần xây dựng và áp dụng các chính sách, quy định, quy trình vận hành phù hợp để giảm thiểu rủi ro.

Hệ thống quản lý ATTT (ISMS) sẽ giúp tổ chức thực hiện việc kiểm soát và định hướng cho các hoạt động đảm bảo ATTT khơng bị sai sót, hoặc không đúng với đặc tả của hệ thống, hệ thống vận hành tốt sẽ giúp công tác đảm bảo ATTT tại tổ chức được duy trì liên tục, được xem xét đánh giá định kỳ và không ngừng cải tiến để đối phó với các rủi ro mới phát sinh. Các hoạt động đảm bảo ATTT trong tổ chức sẽ mang tính hệ thống, giảm sự phụ thuộc vào cán bộ thực thi và luôn được xem xét, đánh giá để nâng cao hiệu quả.

Việc triển khai ISMS theo tiêu chuẩn ISO 27001: 2013 có thể đạt được các lợi ích sau:

- Đảm bảo ATTT của tổ chức, đối tác và khách hàng, giúp cho hoạt động của tổ chức ln thơng suốt và an tồn.

- Giúp nhân viên tuân thủ việc đảm bảo ATTT trong hoạt động nghiệp vụ thường ngày; Các sự cố ATTT do người dùng gây ra sẽ được hạn chế tối đa khi nhân viên được đào tạo, nâng cao nhận thức ATTT.

- Giúp hoạt động đảm bảo ATTT ln được duy trì và cải tiến. Các biện pháp kỹ thuật và chính sách tuân thủ được xem xét, đánh giá, đo lường hiệu quả và cập nhật định kỳ.

- Đảm bảo cho các hoạt động nghiệp vụ của tổ chức, đơn vị không bị gián đoạn, sai sót do các sự cố liên quan đến ATTT trong tổ chức, đơn vị gây ra.

- Nâng cao uy tín của tổ chức, tăng sức cạnh tranh, tạo lịng tin với khách hàng, đối tác, thúc đẩy q trình tồn cầu hóa và tăng cơ hội hợp tác quốc tế.

Một hệ thống ISMS sẽ gồm các thành phần được mơ phỏng trong Hình 6.2 sau đây:

1. Nhận các hỗ trợ từ chính sách của tổ chức (Get management support)

2. Định nghĩa không gian sẽ bảo vệ (Define ISMS scope)

3. Đánh giá các thông tin quan trọng cần bảo vệ (Inventory information assets)

4. Đánh giá rủi ro (Risk assessment)

5. Chuẩn bị các kế hoạch để thực hiện (Prepare to do)

6. Xây dựng và lựa chọn các chương trình ứng dụng để thực hiện giải pháp (Develop ISMS implemention program)

7. Cài đặt các chương trình ứng dụng để thực hiện giải pháp (ISMS implemention program)

8. Thực hiện bảo mật (ISMS)

9. Thực hiện và khai thác các quy trình ISMS (ISMS operational artifacts)

10. Xem xét đánh giá (Compliance review)

11. Lựa chọn giải pháp phù hợp (Corrective actions)

12. Thực hiện tiền đánh giá dựa trên các tiêu chuẩn (Pre-certificate assessment)

13. Thực hiện kiểm tốn (Certificate Audit) 14. Kết thúc

Hình 6.2: Các thành phần trong hệ thống ISMS

Các hoạt động của ISMS chủ yếu hoạt động dựa trên bộ tiêu chuẩn ISO 27001 và bốn pha là lập kế hoạch, thực hiện, kiểm tra và đánh giá.

Hệ mật mã ElGamal

Khái niệm về hàm băm