CHƯƠNG1 : TỔNG QUAN VỀ CHÍNH SÁCH AN TỒN THÔNG TIN
2.3. Tiêu chuẩn ISO/IEC 27001: 2005
2.3.3. Nội dung của tiêu chuẩn ISO/IEC 27001
2.3.3.1. Phạm vi áp dụng
Tiêu chuẩn ISO/IEC 27001: 2005 có thể được áp dụng rộng rãi cho nhiều loại hình tổ chức (các tổ chức thương mại, cơ quan nhà nước, các tổ chức phi lợi nhuận…). Đặc biệt là các tổ chức mà các hoạt động phụ thuộc nhiều vào cơng
27
nghệ thơng tin, máy tính, mạng máy tính, sử dụng cơ sở dữ liệu như: ngân hàng, tài chính, viễn thơng…
Một số các doanh nghiệp lớn như ngân hàng, bảo hiểm, quỹ đầu tư, công ty CNTT…cũng áp dụng ISO/IEC 27001 vào việc đảm bảo an tồn thơng tin của hệ thống. Tiêu chuẩn xác định rõ yêu cầu cho từng quá trình: thiết lập. triển khai, điều hành. giám sát. duy trì và cải tiến một Hệ thống Quản lý an tồn thơng tin (ISMS) để bảo vệ hệ thống thông tin và chủ động chuẩn bị các phương án xử lý trước những rủi ro có thể xảy ra. Tiêu chuẩn này chỉ rõ các yêu cầu khi thực hiện các mục tiêu và biện pháp quản lý đã được chọn lọc phù hợp cho tổ chức hoặc các bộ phận.
Hệ thống ISMS được thiết kế các biện pháp đảm bảo an tồn thơng tin phù hợp và đầy đủ để bảo vệ các tài sản thông tin và đem lại sự tin tưởng của các bên liên quan như đối tác, khách hàng,… của tổ chức.
ISO/IEC 27001 là một phần của hệ thống quản lý chung của các tổ chức, doanh nghiệp. Do vậy có thể xây dựng độc lập hoặc kết hợp với các hệ thống quản lý khác như ISO/IEC 9000, ISO/IEC 14000...
2.3.3.2. Thuật ngữ và định nghĩa
Tiêu chuẩn này sử dụng các thuật ngữ và định nghĩa như sau:
• Tài sản (asset)
Bất kỳ thứ gì có giá trị đối với tổ chức.
• Tính sẵn sàng (availability)
Tính chất đảm bảo mọi thực thể được phép có thể truy cập và sử dụng theo yêu cầu.
• Tính bảo mật (confidentiality)
Tính chất đảm bảo thông tin không sẵn sàng và phơi bày trước cá nhân, thực thể và các tiến trình khơng được phép.
• An tồn thơng tin (information security)
Sự duy trì tính bí mật, tính tồn vẹn và tính sẵn sàng của thơng tin. ngồi ra cịn có thể bao hàm một số tính chất khác như xác thực, kiểm sốt được, khơng từ chối và tin cậy.
28
Một sự kiện đã được xác định trong một hệ thống, dịch vụ hay trạng thái mạng chỉ ra khả năng vi phạm chính sách an tồn thơng tin, sự thất bại của hệ thống bảo vệ, hoặc một vấn đề chưa biết gây ảnh hưởng đến an tồn thơng tin.
• Sự cố an tồn thơng tin (information security incident)
Một hoặc một chuỗi các sự kiện an tồn thơng tin khơng mong muốn, có khả năng làm tổn hại các hoạt động của cơ quan tổ chức và đe dọa an tồn thơng tin.
• Hệ thống quản lý an tồn thơng tin (ISMS - Information security management system)
Hệ thống quản lý an tồn thơng tin là một phần của hệ thống quản lý tồn diện, dựa trên các rủi ro có thể xuất hiện trong hoạt động của tổ chức để thiết lập, triển khai, điều hành, giám sát, soát xét, duy trì và cải tiến an tồn thơng tin.
Chú thích: Hệ thống quản lý an tồn thơng tin bao gồm cơ cấu, chính sách,
kế hoạch hoạt động, trách nhiệm, quy định, thủ tục, quy định và tài nguyên của tổ chức.
• Tính tồn vẹn (integry)
Tính chất đảm bảo sự chính xác và đầy đủ của các tài sản.
• Rủi ro tồn đọng (residua risk)
Rủi ro cịn lại sau q trình xử lý rủi ro.
• Chấp nhận rủi ro (risk acceptance)
Quyết định chấp nhận rủi ro.
• Phân tích rủi ro (risk analysis)
Sử dụng thơng tin một cách có hệ thống nhằm xác định các nguồn gốc và ước đốn rủi ro.
• Đánh giá rủi ro (risk assessment)
Quá trình tổng thể gồm phân tích rủi ro và ước lượng rủi ro.
• Ước lượng rủi ro (risk evaluation)
Quá trình so sánh rủi ro đã ước đoán với chỉ tiêu rủi ro đã có nhằm xác định mức độ nghiêm trọng của rủi ro.
29
Các hoạt động phối hợp nhằm điều khiển và quản lý một tổ chức trước các rủi ro có thể xảy ra.
• Xử lý rủi ro (risk treatment)
Quá trình lựa chọn và triển khai các biện pháp hạn chế rủi ro.
• Thơng báo áp dụng (statement of applicability)
Thông báo bằng văn bản mô tả mục tiêu quản lý và biện pháp quản lý
thích hợp áp dụng cho hệ thống ISMS của tổ chức.
2.3.3.3. Cấu trúc của bộ tiêu chuẩn
Các yêu cầu được trình bày trong tiêu chuẩn mang tính tổng quát và nhằm ứng dụng rộng rãi cho nhiều loại hình cơ quan/tổ chức khác nhau. Nội dung tiêu chuẩn ISO/IEC 27001: 2005 bao gồm các phần chính :
• Hệ thống quản lý an tồn thơng tin. • Trách nhiệm của lãnh đạo.
• Đánh giá nội bộ hệ thống ISMS. • Sốt xét hệ thống.
• Cải tiến hệ thống.
Bộ tiêu chuẩn ISO/IEC 27001: 2005 bao gồm 11 chương, 39 mục tiêu chung và 133 biện pháp kiểm soát.
Các mục tiêu kiểm soát an ninh cùng các biện pháp kiểm soát đi kèm như sau:
1. Chính sách an tồn thơng tin
Chính sách an tồn thơng tin: Nhằm cung cấp định hướng quản lý và hỗ
trợ đảm bảo an tồn thơng tin thỏa mãn với các yêu cầu trong hoạt động nghiệp vụ, môi trường pháp lý và các quy định phải tuân thủ.
2. Tổ chức đảm bảo an tồn thơng tin
Tổ chức nội bộ: Nhằm đảm bảo an tồn thơng tin bên trong tổ chức. Các bên tham gia bên ngồi: Nhằm duy trì an tồn đối với thơng tin và
các phương tiện xử lý thông tin của tổ chức được truy cập, xử lý, truyền tới hoặc quản lý bởi các bên tham gia bên ngoài tổ chức.
30
Trách nhiệm đối với tài sản: Nhằm hồn thành và duy trì các biện pháp
bảo vệ thích hợp đối với tài sản của tổ chức.
Phân loại thơng tin: Đảm bảo thơng tin sẽ có mức độ bảo vệ thích hợp.
4. Đảm bảo an tồn thơng tin từ nguồn nhân lực
Trước khi tuyển dụng: Đảm bảo rằng các nhân viên, người của nhà thầu
và bên thứ ba hiểu rõ trách nhiệm của mình và phù hợp với vai trị được giao, đồng thời giảm thiểu các rủi ro do đánh cắp, gian lận và lạm dụng chức năng, quyền hạn.
Trong thời gian làm việc: Đảm bảo rằng mọi nhân viên của tổ chức, người
nhà thầu và bên thứ ba nhận được các mối nguy cơ và các vấn đề liên quan đến an tồn thơng tin, trách nhiệm, và nghĩa vụ pháp lý của họ và được trang bị các kiến thức, điều kiện cần thiết nhằm hỗ trợ chính sách an tồn thơng tin của tổ chức trong quá trình làm việc, và giảm thiểu các rủi ro do con người gây ra.
Chấm dứt hoặc thay đổi công việc: Nhằm đảm bảo rằng các nhân viên của
tổ chức, người nhà thầu và bên thứ ba nghỉ việc hoặc thay đổi vị trí một cách có tổ chức.
5. Đảm bảo an tồn vật lý và mơi trường
Các khu vực an toàn: Nhằm ngăn chặn sự truy cập vật lý, làm hư hại và
cản trở thông tin và tài sản của tổ chức.
Đảm bảo an toàn trang thiết bị: Nhằm ngăn ngừa mất mát, hư hại, đánh
cắp hoặc lợi dụng tài sản và gián đoạn các hoạt động của tổ chức.
6. Quản lý truyền thông và điều hành
Các thủ tục và trách nhiệm vận hành: Nhằm đảm bảo sự điều hành các
phương tiện xử lý thơng tin đúng đắn và an tồn.
Quản lý chuyển giao dịch vụ của bên thứ ba: Nhằm khai thác và duy trì
mức độ an tồn thơng tin và việc chuyển giao dịch vụ phù hợp với các thỏa thuận chuyển giao dịch vụ của bên thứ ba.
Lập kế hoạch và chấp nhận hệ thống: Giảm thiểu rủi ro do lỗi hệ thống. Bảo vệ chống lại mã độc hại và mã di động: Nhằm bảo vệ tính tồn vẹn
của thơng tin và phần mềm.
Sao lưu: Nhằm duy trì tính tồn vẹn và tính sẵn sàng của thơng tin và các
31
Quản lý an toàn mạng: Nhằm đảm bảo an tồn thơng tin trên mạng và cơ
sở hạ tầng hỗ trợ.
Quản lý phương tiện: Nhằm ngăn chặn tiết lộ, sửa đổi, xóa bỏ hoặc phá
hoại tài sản trái phép, và làm gián đoạn các hoạt động nghiệp vụ.
Trao đổi thơng tin: Nhằm duy trì an tồn cho các thơng tin và phần mềm
được trao đổi trong nội bộ tổ chức hoặc với các thực thể bên ngoài.
Các dịch vụ thương mại điện tử: Nhằm đảm bảo an toàn cho các dịch vụ
thương mại điện tử và sử dụng chúng một cách an toàn.
Giám sát: Nhằm phát hiện các hoạt động xử lý thông tin trái phép. 7. Quản lý truy cập
Yêu cầu nghiệp vụ đối với quản lý truy cập: Quản lý các truy cập thông
tin.
Quản lý truy cập người dùng: Nhằm đảm bảo người dùng hợp lệ được
truy cập và ngăn chặn những người dùng không hợp lệ truy cập trái phép tới các hệ thống thông tin.
Các trách nhiệm của người dùng: Nhằm ngăn chặn người dùng truy cập
trái phép, làm tổn hại hoặc lấy cắp thông tin cũng như các phương tiện xử lý thông tin.
Quản lý truy cập mạng: Nhằm ngăn chặn truy cập trái phép tới các dịch
vụ mạng.
Quản lý truy cập hệ điều hành: Nhằm ngăn ngừa việc truy cập trái phép
tới hệ thống điều hành.
Điều khiển truy cập thông tin và ứng dụng: Nhằm ngăn chặn các truy cập
trái phép đến thông tin lưu trong các hệ thống ứng dụng.
Tính tốn qua thiết bị di động và làm việc từ xa: Nhằm đảm bảo an tồn
thơng tin khi sử dụng các phương tiện tính tốn di động và làm việc từ xa.
8. Tiếp nhận, phát triển và duy trì các hệ thống thơng tin
Yêu cầu đảm bảo an tồn cho các hệ thống thơng tin: Nhằm đảm bảo rằng
an tồn thơng tin là một phần khơng thể thiếu của các hệ thống thông tin.
Xử lý thông tin trong các ứng dụng: Nhằm ngăn ngừa các lỗi, mất mát,
sửa đổi hoặc sử dụng trái phép thông tin trong các ứng dụng.
Quản lý mã hóa: Nhằm bảo vệ tính bảo mật, xác thực hay tồn vẹn của
32
An toàn cho các tệp tin hệ thống: Nhằm đảm bảo an toàn cho các tệp tin
hệ thống.
Đảm bảo an tồn trong các quy trình hỗ trợ và phát triển: Nhằm duy trì
an tồn của thơng tin và các phần mềm hệ thống ứng dụng.
Quản lý các điểm yếu về kỹ thuật: Nhằm giảm thiểu các mối nguy hiểm
xuất phát từ việc tin tặc khai thác các điểm yếu kỹ thuật đã được công bố.
9. Quản lý các sự cố an tồn thơng tin
Báo cáo về các sự kiện an tồn thơng tin và các nhược điểm: Nhằm đảm
bảo các sự kiện an tồn thơng tin và các nhược điểm liên quan tới các hệ thống thông tin được trao đổi để các hành động khắc phục được tiến hành kịp thời.
Quản lý các sự cố an tồn thơng tin và cải tiến: Nhằm đảm bảo tiếp cận
một cách hiệu quả và nhất quán được áp dụng trong việc quản lý sự cố an tồn thơng tin.
10. Quản lý sự liên tục của hoạt động nghiệp vụ
Các khía cạnh an tồn thơng tin trong việc quản lý sự liên tục của hoạt động nghiệp vụ: Chống lại các gián đoạn trong hoạt động nghiệp vụ và bảo vệ
các quy trình hoạt động trọng yếu khỏi các ảnh hưởng do lỗi hệ thống thông tin hay các thảm họa và đảm bảo khả năng khôi phục các hoạt động bình thường đúng lúc.
11. Sự tuân thủ
Sự tuân thủ các quy định pháp lý: Nhằm tránh sự vi phạm pháp luật, quy
đinh, nghĩa vụ theo các hợp đồng đã ký kết, các yêu cầu về đảm bảo an tồn thơng tin.
Sự tn thủ các chính sách và tiêu chuẩn an tồn, và tương thích kỹ thuật:
Nhằm đảm bảo sự tuân thủ của hệ thống theo các chính sách và tiêu chuẩn an toàn của tổ chức.
Xem xét việc đánh giá các hệ thống thơng tin: Nhằm tối ưu hóa và giảm
thiểu những ảnh hưởng xấu từ/tới q trình kiểm tốn các hệ thống thơng tin.
Chú thích: Thứ tự các điều khoản trong tiêu chuẩn này không bao hàm
tầm quan trọng của nó. Tùy theo từng hoạt cảnh, tất cả các điều khoản có thể là quan trọng, do đó mỗi tổ chức đang ứng dụng tiêu chuẩn này cần xác định mục tiêu và biện pháp kiểm soát để ứng dụng, quan trọng thế nào và ứng dụng của
33
chúng đối với quy trình kinh doanh cụ thể. Ngồi ra tất cả các danh sách trong tiêu chuẩn này khơng có trong thứ tự ưu tiên, trừ khi được ghi nhận như vậy.