Xây dựng hệ thống quản lý an tồn thơng tin theo tiêu chuẩn

Một phần của tài liệu NGHIÊN CỨU VỀ CÁC PHƯƠNG PHÁP PHÁT TRIỂN CHÍNH SÁCH AN TOÀN THÔNG TIN (Trang 33 - 38)

CHƯƠNG1 : TỔNG QUAN VỀ CHÍNH SÁCH AN TỒN THÔNG TIN

2.3. Tiêu chuẩn ISO/IEC 27001: 2005

2.3.4. Xây dựng hệ thống quản lý an tồn thơng tin theo tiêu chuẩn

27001 (Information Security Management System - ISMS)

2.3.4.1. Lợi ích khi triển khai áp dụng hệ thống quản lý an tồn thơng tin (ISMS)

Lý do để các tổ chức tồn tại được là đảm bảo mọi thông tin của họ được an tồn, nó đóng vai trị quyết định sự thành bại của một cơ quan, một tổ chức, hay một doanh nghiệp. ISMS được thiết kế để đảm bảo việc quản lý an tồn thơng tin là đầy đủ và tương xứng, việc này được đặt ra nhằm bảo vệ tài sản thông tin của tổ chức và để cho các bên quan tâm có sự tin tưởng và sự đảm bảo. ISMS có thể áp dụng được cho mọi loại hình tổ chức có nhu cầu bảo vệ thông tin. Việc triển khai hệ thống ISMS sẽ giúp tổ chức đạt được các lợi ích sau:

• Đảm bảo ATTT của tổ chức, đối tác và khách hàng, giúp cho hoạt động của tổ chức ln thơng suốt và an tồn.

• Giúp nhân viên tuân thủ việc đảm bảo ATTT trong hoạt động nghiệp vụ thường ngày. Các sự cố ATTT do người dùng gây ra sẽ được hạn chế tối đa khi nhân viên được đào tạo, nâng cao nhận thức ATTT.

• Giúp hoạt động đảm bảo ATTT ln được duy trì và cải tiến. Các biện pháp kỹ thuật và chính sách tuân thủ được xem xét, đánh giá, đo lường hiệu quả và cập nhật định kỳ.

• Đảm bảo hoạt động nghiệp vụ của tổ chức không bị gián đoạn bởi các sự cố liên quan đến ATTT.

• Nâng cao uy tín của tổ chức, tăng sức cạnh tranh, tạo lòng tin với khách hàng, đối tác, thúc đẩy q trình tồn cầu hóa và tăng cơ hội hợp tác quốc tế.

Hệ thống quản lý an tồn thơng tin (ISMS) sẽ giúp tổ chức thực hiện việc kiểm soát và định hướng cho các hoạt động đảm bảo ATTT. Đứng trước những rủi ro về ATTT do bị tấn cơng hay phá hoại có chủ đích, đồng thời nếu các quy trình quản lý, vận hành khơng được đảm bảo. việc quản lý quyền truy cập chưa được kiểm tra và xem xét định kỳ,... thì tổ chức cũng có thể gặp phải những rủi ro không mong muốn đối với thơng tin.

Vì thế việc hệ thống vận hành tốt sẽ giúp công tác đảm bảo ATTT tại tổ chức được duy trì liên tục, được xem xét đánh giá định kỳ và khơng ngừng cải

34

tiến để đối phó với các rủi ro mới phát sinh. Các hoạt động đảm bảo ATTT trong tổ chức sẽ mang tính hệ thống, giảm sự phụ thuộc vào cán bộ thực thi và luôn được xem xét, đánh giá để nâng cao hiệu quả.

2.3.4.2. Quy trình thực hiện ISMS

Việc xây dựng hệ thống an tồn thơng tin nên căn cứ vào nhu cầu và đặc điểm của từng tổ chức. Một hệ thống an tồn có hiệu quả ở tổ chức này, nhưng không chắc là phù hợp với tổ chức khác, thậm chí có hoạt động cùng lĩnh vực đi chăng nữa.

Quản lý ATTT không phải chỉ được làm một lần mà nó cần được liên tục cải tiến hoạt động (dựa trên mơ hình PDCA). Tổ chức nào quản lý được tốt ATTT thì tổ chức đó là một tổ chức có tiềm năng. Hỗ trợ quản lý và cam kết hoạt động của ISMS là một trong những yếu tố trọng điểm để đạt được sự thành cơng và tính hiệu quả trong việc thực thi ISMS.

Tiêu chuẩn ISO/IEC 27001: 2009 giới thiệu một mơ hình tuần hồn là “Lập kế hoạch - Thực hiện - Kiểm tra - Thực thi, duy trì” (“Plan-Do-Check-Act” - PDCA) có mục đích thiết lập, thực thi, giám sát và cải tiến hiệu quả hệ thống quản lý an tồn thơng tin. Chu trình PDCA có 4 pha và được thể hiện như sau:

35

• Plan (Thiết lập ISMS): Thiết lập chính sách ISMS, đối tượng, tiến trình, thủ tục liên quan tới quản lý rủi ro và cải thiện vấn đề an tồn thơng tin để cung cấp kết quả phù hợp với chính sách, đối tượng của tổ chức.

• Do (Triển khai và điều hành ISMS): Triển khai và điều hành chính sách ISMS, kiểm sốt, xử lý và thủ tục.

• Check (Giám sát và soát xét ISMS): Đánh giá, nơi được áp dụng, đo lường quá trình thực hiện đối với các chính sách ISMS, đối tượng và những kinh nghiệm trong thực tế, báo cáo kết quả để người quản lý xem xét.

• Act (Duy trì và cải tiến ISMS): Tiến hành sửa chữa và ngăn ngừa các hành động, dựa trên kết quả của kiểm toán nội bộ ISMS và quản lý xem xét hoặc những thơng tin khác có liên quan để có thể liên tục cải tiến ISMS.

a) Thiết lập ISMS

Để thiết lập hệ thống ISMS, tổ chức cần thực hiện như sau :

• Xác định phạm vi, giới hạn của ISMS phù hợp với các đặc thù cơng việc, tổ chức, vị trí, tài sản và cơng nghệ.

• Xây dựng và hoạch định chính sách ISMS theo đặc thù cơng việc, tổ chức, địa điểm, tài sản và công nghệ :

✓ Xây dựng các mục tiêu và thiết lập một định hướng và nguyên tắc chung cho các hành động đảm bảo ATTT.

✓ Tuân thủ quy định pháp lý, các yêu cầu nghiệp vụ và cam kết về ATTT đã có.

✓ Thiết lập tiêu chí xác định các rủi ro sẽ được ước lượng. ✓ Mọi kế hoạch, chính sách phải được ban quản lý phê duyệt.

• Xác định phương thức tiếp cận đánh giá rủi ro của tổ chức:

✓ Xác định phương pháp đánh giá rủi ro phù hợp với hệ thống ISMS và các quy định, luật pháp, yêu cầu và cam kết đã có cần phải tuân thủ. ✓ Xây dựng các tiêu chí cho việc chấp nhận rủi ro và vạch rõ các mức rủi

ro có thể chấp nhận được.

• Xác định các rủi ro :

✓ Xác định tất cả các tài sản trong phạm vi hệ thống ISMS và đối tượng quản lý các tài sản này.

✓ Xác định các mối đe dọa đối với tài sản.

36

✓ Xác định các tác động làm mất tính chất bí mật, tồn vẹn và sẵn sàng của tài sản.

• Phân tích mức độ và ước lượng các rủi ro :

✓ Đánh giá các ảnh hưởng tới hoạt động của tổ chức có thể gây ra do sự cố về ATTT.

✓ Đánh giá khả năng thực tế có thể xảy ra sự cố ATTT bắt nguồn từ các mối đe dọa, điểm yếu đã dự đoán.

✓ Ước đoán các mức độ của rủi ro.

✓ Xác định xem rủi ro là chấp nhận được hay phải có các biện pháp xử lý.

• Xác định và đánh giá các phương pháp cho việc xử lý rủi ro : ✓ Áp dụng các biện pháp quản lý thích hợp.

✓ Chấp nhận rủi ro với điều kiện chúng hồn tồn thỏa mãn các chính sách.

✓ Chuyển giao các rủi ro các bên tham gia khác như bảo hiểm, nhà cung cấp,...

• Lựa chọn các mục tiêu kiểm soát và phương pháp kiểm sốt để xử lý rủi ro.

• Trình ban quản lý phê chuẩn các rủi ro đã đề xuất.

• Trình ban quản lý cho phép triển khai và vận hành hệ thống ISMS.

• Chuẩn bị thông báo áp dụng bao gồm:

✓ Các mục tiêu quản lý và biện pháp quản lý đã được lựa chọn. ✓ Các mục tiêu quản lý và biện pháp quản lý đang được thực hiện. ✓ Các mục tiêu quản lý và biện pháp quản lý trong Phụ lục A đã loại trừ.

b) Triển khai và điều hành hệ thống ISMS

Quá trình triển khai và điều hành hệ thống ISMS cần thực hiện như sau: • Lập kế hoạch xử lý rủi ro trong đó xác định các hành động quản lý thích hợp, các tài nguyên, các trách nhiệm và mức độ ưu tiên quản lý các rủi ro an tồn thơng tin.

• Triển khai kế hoạch xử lí rủi ro. nhằm đạt được mục tiêu quản lý đã xác định. trong đó bao gồm cả việc xem xét kinh phí đầu tư cũng như phân bổ các vai trò, trách nhiệm.

37

• Triển khai các biện pháp quản lý được lựa chọn để đáp ứng các mục tiêu quản lý.

• Xác định cách đánh giá hiệu lực của các biện pháp quản lý đã lựa chọn và chỉ ra các phương pháp đánh giá này sẽ được sử dụng như thế nào trong việc đánh giá hiệu lực của các biện pháp quản lý nhằm tạo ra những kết quả có thể so sánh được và tái tạo được.

• Triển khai các chương trình đào tạo và nhận thức. • Quản lý các hoạt động của ISMS.

• Quản lý các tài nguyên dành cho hệ thống ISMS.

• Triển khai các thủ tục và các biện pháp quản lý khác có khả năng phát hiện các sự kiện ATTT và phản ứng với các sự cố ATTT.

c) Giám sát và soát xét hệ thống ISMS

Tổ chức cần thực hiện những hành động sau đây:

• Tiến hành giám sát, soát xét các thủ tục và các biện pháp quản lý nhằm: ✓ Phát hiện kịp thời các sai sót trong kết quả xử lý.

✓ Nhanh chóng xác định các tấn cơng, lỗ hổng và sự cố ATTT.

✓ Cho phép nhà quản lý xác định xem các hoạt động an tồn có được hiệu quả như mong đợi.

✓ Hỗ trợ phát hiện các sự kiện ATTT và do đó ngăn chặn sớm các sự cố ATTT bằng cách sử dụng các dấu hiệu cần thiết.

✓ Xác định hiệu lực của các hành động xử lý vi phạm ATTT đã thực hiện.

• Thường xuyên soát xét hiệu lực của hệ thống ISMS, xem xét các sự cố đã xảy ra, các kết quả đánh giá hiệu lực, các đề xuất và thông tin phản hồi thu thập được từ các bên liên quan.

• Đánh giá hiệu lực của các biện pháp quản lý để xác minh các yêu cầu về ATTT đã được đáp ứng.

• Sốt xét các đánh giá rủi ro đã tiến hành theo kế hoạch và soát xét các mức độ rủi ro tồn đọng cũng như mức độ rủi ro có thể chấp nhận được.

• Thực hiện việc kiểm toán nội bộ hệ thống ISMS một cách định kỳ.

• Thực hiện sốt xét của ban quản lý đối với hệ thống ISMS một cách thừng xuyên để đảm bảo phạm vi đặt ra vẫn phù hợp và xác định cải tiến cho hệ thống.

• Cập nhật kế hoạch đảm bảo ATTT theo sát thay đổi của tình hình thực tế thu được qua các hoạt động giám sát và đánh giá.

38

• Ghi chép, lập tài liệu về các hành động và sự kiện có khả năng ảnh hửng đến hiệu lực hoặc hiệu suất của hệ thống ISMS.

d) Duy trì và cải tiến hệ thống

Tổ chức cần thường xuyên thực hiện:

• Triển khai các cải tiến đã được xác định cho hệ thống ISMS.

• Tiến hành các hành động khắc phục và phịng ngừa thích hợp. Vận dụng kinh nghiệm đã có cũng như tham khảo từ các tổ chức khác.

• Thơng báo và thống nhất với các bên liên quan về các hành động và cải tiến của hệ thống ISMS.

• Đảm bảo việc cải tiến phải đạt được mục tiêu đã đưa ra.

Một phần của tài liệu NGHIÊN CỨU VỀ CÁC PHƯƠNG PHÁP PHÁT TRIỂN CHÍNH SÁCH AN TOÀN THÔNG TIN (Trang 33 - 38)

Tải bản đầy đủ (PDF)

(61 trang)