Hình 3.5: Truy xuất nguồn gốc tài liệu của hệ thống quản lý ATTT (ISMS Document Traceability).
94 Hình 3.7: Chỉnh sửa tài liệu của hệ thống quản lý ATTT (Edit ISMS Document).
95
KẾT LUẬN
Kết quả chính của luận văn gồm có:
1/. Về nghiên cứu, tìm hiểu hệ thống quản lý ATTT theo chuẩn ISO27001: Hệ thống quản lý an toàn thông tin ATTT bao gồm con người, các quá trình và các hệ thống CNTT. Lập một hệ thống quản lý ATTT theo chuẩn ISO 27001 là cách tiếp cận mang tính hệ thống để quản lý thông tin nhạy cảm của tổ chức nhằm duy trì và đảm bảo ba thuộc tính an toàn thông tin: Tính tin cậy, Tính toàn vẹn, Tính sẵn sàng. Với các yêu cầu cụ thể về:
Hệ thống quản lý an toàn thông tin. Trách nhiệm của ban lãnh đạo.
Đánh giá nội bộ về hệ thống quản lý ATTT.
Xem xét của ban lãnh đao về hệ thống quản lý ATTT. Cải tiến hệ thống quản lý ATTT.
Thông qua việc kiểm soát mười một mục tiêu và lĩnh vực chính: Chính sách an ninh (Security Policy).
Tổ chức an ninh (Security Organization).
Phân loại và kiểm tra tài sản (Asset Classification and Control). An ninh về nhân sự (Personnel Security).
An ninh về môi trường và mức vật lý (Physical and Environmental Security). Quản lý tác nghiệp và thông tin liên lạc.
Điều khiển truy nhập (Access Control).
Phát triển hệ thống và bảo dưỡng (Systems Development and Maintenance). Quản trị tính liên tục trong kinh doanh (Business Continuity Management). Quản lý các sự cố an toàn thông tin
Điều kiện tuân thủ (Compliance).
Như vậy ISO 27001 giúp cho tổ chức tạo được một hệ thống quản lý an toàn thông tin chặt chẽ nhờ luôn được cải tiến nhằm đảm bảo an ninh và khai thác thông tin một cách hợp lý và hiệu quả nhất.
96 Tuy nhiên việc tuân theo hoặc đạt được chứng chỉ chuẩn ISO 27001 không thể chứng minh tổ chức được đảm bảo an toàn 100%. Không có điều gì là an ninh hoàn toàn ngoại trừ không làm gì cả. Tuy nhiên, sự thừa nhận chuẩn quốc tế này đưa ra những lợi ích chắc chắn mà người quản lý cần phải xem xét.
Cấp độ tổ chức: Sự cam kết - Chứng chỉ như là một cam kết hiệu quả của nổ lực đưa an ninh của tổ chức đạt tại các cấp độ và chứng minh sự cần cù thích đáng của chính những người quản trị.
Cấp độ pháp luật: Tuân thủ - chứng minh cho nhà chức trách rằng tổ chức đã tuân theo tất cả các luật và các qui định áp dụng. Điều quan trọng là chuẩn đã bổ sung những chuẩn và luật tồn tại khác.
Cấp độ điều hành: Quản lý rủi ro - Mang lại những hiểu biết tốt hơn về các hệ thống thông tin, điểm yếu của chúng và làm thế nào để bảo vệ chúng. Tương tự, nó đảm bảo nhiều khả năng sẵn sàng phụ thuộc ở cả phần cứng và phần mềm. Cấp độ thương mại: Sự tín nhiệm và tin cậy- Các thành viên, cổ đông, và khách hàng vững tin khi thấy khả năng và sự chuyên nghiệp của tổ chức trong việc bảo vệ thông tin. Chứng chỉ có thể giúp nhìn nhận riêng từ các đối thủ cạnh tranh trong thị trường.
Cấp độ tài chính và cấp độ con người: Tiết kiệm chi phí khắc phục các lỗ hỏng an ninh và có khả năng giảm chi phí bảo hiểm. Cải tiến nhận thức của nhân viên về các vấn đề an ninh và trách nhiệm của họ trong tổ chức.
2/. Về thử nghiệm sử dụng chương trình quản lý ATTT:
Chương trình “ISMS-RAT” có thể trợ giúp cho việc thực thi ATTT trong các tổ chức một cách thuận tiện và hiệu quả, những lợi ích chính mà chương trình mang lại như: Phân lọai, kiểm kê các tài sản liên quan đến An toàn Thông tin, Đánh giá rủi ro, Lựa chọn các kế hoạch phòng ngừa rủi ro phù hợp với tiêu chuẩn ISO 27001, thực hiện việc truy xuất nguồn gốc tài liệu liên quan đến ATTT, Đưa rá các tuyên bố áp dụng (Statement Of Applicabity: SOA) một yêu cầu bắt buộc để thực hiện ATTT theo tiêu chuẩn ISO 27001 một cách hiệu quả.
97
TÀI LIỆU THAM KHẢO Tiêu chuẩn kỹ thuật
[1] ISO/IEC 1799:2000, Information technology – Code of Practice. [2] BS 7799-2:2002, Information Security Management Specification with Guidance for User.
[3] ISO/IEC TR 13335-1:2004, Information technology - Security techniques Management of information and communications technology security.
Part 1: Concepts and models for information and communications technology security management.
ISO/IEC TR 13335-3:1998, Information technology - Guidelines for the management of IT Security.
Part 3: Techniques for the management of IT security.
ISO/IEC TR 13335-4:2000, Information technology - Guidelines for the management of IT Security.
Part 4: Selection of safeguards.
[4] ISO 19011:2002, Guidelines for quality and/or environmental management systems auditing.
[5] ISO/IEC 1799:2005 Information technology - Security techniques.
[6] OECD, Guidelines for the Security of Information Systems and Networks - Towards a Culture of Security. Paris: OECD, July 2002. www.oecd.org.