Upload
others
View
1
Download
0
Embed Size (px)
Citation preview
1Bureau Veritas Certification Vietnam ISMS Security world – 25 March 2009
Hệ thống Quản lý An toàn Thông Tin (ISMS)theo ISO 27001:2005
Cách ti ếp cận & áp d ụng th ực tế
Hà Nội, Security World – 24 & 25 tháng 3 n ăm 2009
Trịnh Tuấn DũngGð Chứng nh ận
Bureau Veritas Certification VN
2Bureau Veritas Certification Vietnam ISMS Security world – 25 March 2009
Nội dung
1. Nhu cầu thực tế & giới thi ệu về bộ tiêu chu ẩn Quốc tế về Hệ thống Quản lý An toàn Thông tin (ISMS)
2. Các bước thực hi ện ISO 27001:2005 – Cách ti ếp cận áp dụng th ực tế.
3. Ích lợi
3Bureau Veritas Certification Vietnam ISMS Security world – 25 March 2009
NHU CẦU CẦN CÓ CỦA HT AN TOÀN THÔNG TIN
4Bureau Veritas Certification Vietnam ISMS Security world – 25 March 2009
Nhu cầu cần có c ủa tiêu chu ẩn
♦ Trước những năm 1970, công nghệ ATTT => Chính phủ, Quân sự, hay Ngân hàng
♦ Internet và kinh doanh trên mạng “on-line”, ATTT => nhận dạng, chứng thực, và quản lý người sử dụng…
♦ Pháp luật về Chữ ký ñiện tử tạo ñiều kiện cho việc phát triển e-business, e-commerce
♦ Mọi người cần niềm tin và thực hiện có hiệu lực => HTQL ATTT
5Bureau Veritas Certification Vietnam ISMS Security world – 25 March 2009
Các HTQL nh ằm cải ti ến & cung c ấp lòng tin
♦ ðảm bảo chất lượng sản phẩm & thoả mãn khách hàng => ISO 9001
♦ Bảo vệ môi trường sống cho cộng ñồng => ISO 14001 …
♦ ðảm bảo Sức khoẻ, an toàn người lao ñộng => OHSAS 18001
♦ ðảm bảo vệ sinh thực phẩm => ISO 22000
♦ Bảo mật thông tin liên lạc – là một loại tài sản ñặc thù => ???
♦ HTQL ATTT
6Bureau Veritas Certification Vietnam ISMS Security world – 25 March 2009
Lịch sử của bộ tiêu chu ẩn
7Bureau Veritas Certification Vietnam ISMS Security world – 25 March 2009
Bộ tiêu chu ẩn ISO 27000 của JTC1 – SC 27
ISO/FCD
27000
IT - ISMS – Nguyên t ắc và từ vựng
ISO/FCD
27004IT - ISMS –ðo lường
ISO27001: 2005
ISO27001: 2005
IT - ISMS –Các yêu c ầu
ISO19011ISO
19011
Hướng dẫn ñánh giá
chung HTQL
ISO27002:2005
ISO27002:2005
ISO27005:2008
ISO27005:2008
ISO/CD
27003
IT - ISMS - Hướng dẫn áp dụng
IT – Security Technique - Qui tắc Thực hành ISMS (ISO 17799 :2005 & 2007)
IT – Security Technique -Quản lý r ủi ro
ISO27006:2007
ISO27006:2007
IT – Security Technique -
Yêu cầu cho các tổ chức ñánh giá &
chứng nh ận
… và còn 27011, 12, 33 part 1-7
* 29100, 101, 150
8Bureau Veritas Certification Vietnam ISMS Security world – 25 March 2009
♦ Phát triển và hoàn thiện những tiêu chuẩn cơ bản: 27000 - Cơ sở, từ vựng, 27004 – ðo lường
♦ Phát triển và hoàn thiện những tiêu chuẩn Hướng dẫn (chung và ñặc thù): 27003 – Áp dụng, 27007 – ðánh giá, 27011 –Telecomunication, 27012 – E Government, 27032 -Cybersecurity
♦ ðưa ra kỹ thuật bảo mật cho mạng – IT network: Bộ tiêu chuẩn 27033-1 cho tới 27033-7
Xu hướng phát tri ển của Bộ tiêu chu ẩn ISO 27000
Nguồn: ISO/JTC1/SC27
9Bureau Veritas Certification Vietnam ISMS Security world – 25 March 2009
GIỚI THIỆU ISO 27001:2005 & CÁC BƯỚC ÁP DỤNG THỰC TẾ
10Bureau Veritas Certification Vietnam ISMS Security world – 25 March 2009
ðịnh nghĩa:
� THÔNG TIN là một loại tài sản, giống như những tài sản kinh doanh quan
trọng khác, thông tin có giá trị ñối với một tổ chức và do ñó cần ñược BẢO VỆ
một cách hợp lý. (ISO/IEC 17799:2000)
Thông tin là gì?
ðược tạo ra Lưu trữ ðược xử lý
ðược chuy ển giao ðược sử dụng
Bị phá hu ỷ Bị thất lạcBị sửa ñổi
Thông tin có th �:
11Bureau Veritas Certification Vietnam ISMS Security world – 25 March 2009
CIA (Confidential-Integrity-Availability):
� TÍNH BẢO MẬT: Thông tin không sẵn có hoặc không nên ñể lộ cho cá nhân, tổ chức, ñối tượng chưa ñược uỷ quyền
� TÍNH TOÀN VẸN: Thông tin ñược bảo vệ và ñược giữ gìn trọn vẹn
� TÍNH SẴN CÓ: Luôn sẵn sàng vàsẵn có sử dụng khi cần cho ñối tượng ñã ñược uỷ quyền
(ISO/IEC 27001:2005 – Các yêu cầu)
An toàn thông tin là gì?
Tính bảo mật
Tính toàn v ẹn
Tính sẵn có
Các tổ chức cần ñạt ñược sựcân b ằng…
“Sự duy trì các thu ộc tính: tính b ảo mật, tính toàn v ẹn và tính s ẵn có c ủa thông tin; ngoài ra, các thu ộc tính khác nh ư tính xác th ực, trách nhi ệm gi ải trình, tính thừa nhận và tính ñáng tin c ậy cũng có th ể liên quan”
12Bureau Veritas Certification Vietnam ISMS Security world – 25 March 2009
ð�nh ngh ĩa:
“Hệ thống quản lý an toàn thông tin (ISMS) là một phần của hệ thống quản lý tổng thế, dựa trên cách tiếp cận theo rủi ro của kinh doanh, ñể thiết lập, thực hiện, ñiều hành, giám sát, xem xét, duy trì và cải tiến việc bảo mật thông tin”
Ghi chú: hệ thống quản lý bao gồm: cấu trúc của tổ chức, chính sách, các hoạt ñộng hoạch ñịnh, trách nhiệm, việc thực hành, thủ tục, qui trình và nguồn lực.”
(ISO 27001:2005 cl 3.7)
Hệ thống qu ản lý An toàn thông tin - ISMS là gì?
H� th�ng
qu�n lý
ISMS
Nhưng nh ững lợi ích có ñược là gì?
13Bureau Veritas Certification Vietnam ISMS Security world – 25 March 2009
Các bên hữu quan
An toàn
thông tin
ñược quản lý
Thiết lập hệthống ISMS
Thực hi ện và ñiều hành h ệthống ISMS
Duy trì và c ải tiến hệ thống
ISMS
Giám sát và ñánh giá h ệthống ISMS
Chu k ỳ phát tri ển, duy trìvà cải ti ến
Plan
Do
Check
Act
Các bên hữu quan
Mong muốn và
yêu cầu An toàn
thông tin
Giới thi ệu ISO 27001:2005
14Bureau Veritas Certification Vietnam ISMS Security world – 25 March 2009
Giới thi ệu ISO 27001:2005
► 4 Hệ thống qu ản lý an toàn thông tin
� 4.1 Các yêu c ầu tổng quát
� 4.2 Thiết lập và qu ản lý h ệ thống ISMS
� 4.3 Những yêu c ầu về tài li ệu
► 5 Trách nhi ệm lãnh ñạo
� 5.1 Cam kết của lãnh ñạo
� 5.2 Quản lý các ngu ồn lực
► 6 ðánh giá n ội bộ hệ thống ISMS
► 7 Xem xét lãnh ñạo hệ thống ISMS
► 8 Việc cải ti ến ISMS
� 8.1 Cải tiến thường xuyên
� 8.2 Hành ñộng sửa chữa
� 8.3 Hành ñộng phòng ng ừa
Phụ lục A bao g ồm :
► 11 phần:5. Chính sách ISMS6. Cơ cấu tổ chức ISMS7. Quản lý tài s ản8. Bảo mật ngu ồn nhân l ực9. Bảo mật môi tr ường vật lý10. Quản lý ho ạt ñộng và truy ền thông11. Kiểm soát truy c ập12. Thu nạp, duy trì và phát tri ển hệ thống
thông tin13. Quản lý s ự cố ISMS14. Duy trì liên t ục hoạt ñộng kinh doanh15. Tính tuân th ủ
► 39 mục tiêu ki ểm soát
► 132 mục kiểm soát
15Bureau Veritas Certification Vietnam ISMS Security world – 25 March 2009
ISMS theo ISO 27001:2005
Một số “vấn ñề” có thể tồn tại của các HTQL vận hành theo tiêu chuẩn quốc tế ISO (9001, 14001, 22000…):
♦ Phức tạp nhiều hệ thống
♦ Tốn giấy, tốn công
♦ Hình thức, không thực tế
♦ Hiệu quả kém
Tiêu chuẩn này chỉ rõ:
♦ Mục 0.1 Tổng quan “Áp dụng ISMS với mức ñộ tuỳ thuộc vào nhu cầu của tổchức, nghĩa là tình hu �ng ñn gi�n ch yêu c�u ISMS ñn gi�n”
♦ Mục 0.3 Tương thích với các HTQL khác: “Tiêu chuẩn quốc tế này hoàn toàn tương thích vói ISO 9001:2000 và ISO 14001:2004 ñể hỗ trợ cho việc áp dụng và vận hành tích hợp. M�t HTQL ñ �c thi �t k� thích h �p có th � tho�mãn t�t c� các tiêu chu �n này ”
♦ Mục 1.2 Áp dụng / Chú thích: “Dùng HTQL hi�n có ñể thoả mãn các yêu cầu của tiêu chuẩn này sẽ tốt hơn trong ña số các trường hợp”
16Bureau Veritas Certification Vietnam ISMS Security world – 25 March 2009
Phạm vi & ranh gi ới
Xây dựng ISMS theo ISO 27001:2005
Li ệt kê, kiểm kê và ñánh giá các loại tài sản (thông tin)
Chính SáchISMS
Xác ñịnh các mối ñe doạ (threat) Xác ñịnh các lỗ hổng (vulnerability)
Phương pháp ñánh giá rủi ro ðánh giá rủi ro & tác ñộng
Dự toán mức rủi ro (risk levels)
Xác ñịnh rủi ro chấp nhận hay không
KHÔNG
Kế hoạch xử lý rủi ro theo ưu tiên:1. Loại bỏ (tránh)2. Chuyển giao3. Áp dụng các mục kiểm soát4. Biết & chấp nhận có kiểm soát
Công bố Áp dụng (SOA)
17Bureau Veritas Certification Vietnam ISMS Security world – 25 March 2009
SO SÁNH VỚI HTQL HIỆN CÓ (ISO 9001:2008)
► 4 Hệ thống qu ản lý an toàn thông tin
� 4.1 Các yêu c ầu tổng quát
� 4.2 Thiết lập và qu ản lý h ệ thống ISMS
� 4.3 Những yêu c ầu về tài li ệu
► 5 Trách nhi ệm lãnh ñạo
� 5.1 Cam kết của lãnh ñạo
� 5.2 Quản lý các ngu ồn lực
► 6 ðánh giá n ội bộ hệ thống ISMS
► 7 Xem xét lãnh ñạo hệ thống ISMS
► 8 Việc cải ti ến ISMS
� 8.1 Cải tiến thường xuyên
� 8.2 Hành ñộng sửa chữa
� 8.3 Hành ñộng phòng ng ừa
ISO 27001:2005 HTQL hi ện có (hay ISO 9001:2000)
4.2.3 &4.2.45.1 & 5.2
6.28.2.25.6
8.5.18.5.28.5.3
Bảng so sánh tương ñồng giữa 9001/14001&27001:
Xem trang trước
18Bureau Veritas Certification Vietnam ISMS Security world – 25 March 2009
PRESIDENTE
MKT
VTS
SPV
AAR
ACAB
D&D
PLD
PROY
ADQ
PLA
CMP
CINV
OPER
PLM
CORTE
ENS
LOG
ALM
EMB
ENTR
FIN
CONT
FACT
COBR
Tương tự ISO 9001
Giới thi ệu ISO 27001:2005
Phụ lục A bao g ồm :
► 11 phần:5. Chính sách ISMS6. Cơ cấu tổ chức ISMS7. Quản lý tài s ản8. Bảo mật ngu ồn nhân l ực9. Bảo mật môi tr ường vật lý10. Quản lý ho ạt ñộng và truy ền
thông11. Kiểm soát truy c ập12. Thu nạp, duy trì và phát tri ển
hệ thống thông tin13. Quản lý s ự cố ISMS14. Duy trì liên t ục hoạt ñộng kinh
doanh15. Tính tuân th ủ
► 39 mục tiêu ki ểm soát
► 132 biện pháp Kiểm soát
Giống ISO 9001 Our organisation is committe
d to
excellence and satisfaction of all our
customers, employees, suppliers and
society in general. Continual im
provement
is a permanent activity. Our goal is to
design manufacture and market quality
products and services at competitive
prices and become leaders in our sector.
J. J. President
QualityPolicy
Khaùch haøng
Các tổ chức chuyên môn
Các bên cung cấp thứ Ba
Kiểm kê – Có ch ủ - Phân lo ại – Nhãn - Qð sử dụng
Mới so với ISO
9001 nhưng bài bản
19Bureau Veritas Certification Vietnam ISMS Security world – 25 March 2009
Giới thi ệu ISO 27001:2005
Phụ lục A bao g ồm :
► 11 phần:5. Chính sách ISMS6. Cơ cấu tổ chức ISMS7. Quản lý tài s ản8. Bảo mật ngu ồn nhân l ực9. Bảo mật môi tr ường vật lý10. Quản lý ho ạt ñộng và truy ền
thông11. Kiểm soát truy c ập12. Thu nạp, duy trì và phát tri ển
hệ thống thông tin13. Quản lý s ự cố ISMS14. Duy trì liên t ục hoạt ñộng kinh
doanh15. Tính tuân th ủ
► 39 mục tiêu ki ểm soát
► 132 biện pháp Kiểm soát
Nhân viên/nhà th ầu/bên th ứ 3 – trước/trong/sauH ð
Tương tựISO 9001
Tương tự ISO 9001
20Bureau Veritas Certification Vietnam ISMS Security world – 25 March 2009
Giới thi ệu ISO 27001:2005
Phụ lục A bao g ồm :
► 11 phần:5. Chính sách ISMS6. Cơ cấu tổ chức ISMS7. Quản lý tài s ản8. Bảo mật ngu ồn nhân l ực9. Bảo mật môi tr ường vật lý10. Quản lý ho ạt ñộng và truy ền
thông11. Kiểm soát truy c ập12. Thu nạp, duy trì và phát tri ển
hệ thống thông tin13. Quản lý s ự cố ISMS14. Duy trì liên t ục hoạt ñộng kinh
doanh15. Tính tuân th ủ
► 39 mục tiêu ki ểm soát
► 132 biện pháp Kiểm soát
21Bureau Veritas Certification Vietnam ISMS Security world – 25 March 2009
ÍCH LỢI
22Bureau Veritas Certification Vietnam ISMS Security world – 25 March 2009
♦Bảo vệ tài sản thông tin một cách thích hợp
♦ Kiểm soát dựa trên rủi ro
♦ Không bị Thiếu / Thừa
♦Lợi thế cạnh tranh
♦Sự tuân thủ pháp luật
♦Hình ảnh
♦Lợi nhuận
Lợi ích c ủa an toàn thông tin
♦Thành lập nền tảng vững chắc cho chính sách bảo mật thông tin
♦Là bằng chứng thấy ñược vềnhững thực hành ñược áp dụng cho các bên quan tâm:
♦ Các khách hàng thương mại
♦ Khách hàng là người sử dụng cuối cùng
♦ ðối với nhân viên (kiểm toán)
♦ ðối với các cơ quan quản lý
23Bureau Veritas Certification Vietnam ISMS Security world – 25 March 2009
BUREAU VERITAS CERTIFICATION VIETNAM
►Phát hành 2000 Giấy chứng nhận phù hợp với các tiêu chuẩn quốc tế cho các HTQL
►Phù hợp ISO 17021:2006 & ñược chuyển thành Trung tâm chứng nhận (ICC) từ tháng 9 năm 2008
� Quyết ñịnh chứng nhận với công nhận của UKAS & ANAB.
� Kịp thời hơn với nhu cầu khách hàng
►Có chuyên gia ñánh giá người Việt Nam
►Khách hàng tiêu biểu tại Việt Nam ISO 27001:2005–UKAS công nhận
� YKK.
� BKIS
24Bureau Veritas Certification Vietnam ISMS Security world – 25 March 2009