Hệth ống Qu ản lý An toàn Thông Tin (ISMS) theo ISO 27001 ...antoanthongtin.vn/Portals/0/UploadImages/kiennt2/KyYeu/DuLieuTrongNuoc... · qu ốc t ế ISO (9001, 14001,

1Bureau Veritas Certification Vietnam ISMS Security world – 25 March 2009

Hệ thống Quản lý An toàn Thông Tin (ISMS)theo ISO 27001:2005

Cách ti ếp cận & áp d ụng th ực tế

Hà Nội, Security World – 24 & 25 tháng 3 n ăm 2009

Trịnh Tuấn DũngGð Chứng nh ận

Bureau Veritas Certification VN


Nội dung

1. Nhu cầu thực tế & giới thi ệu về bộ tiêu chu ẩn Quốc tế về Hệ thống Quản lý An toàn Thông tin (ISMS)

2. Các bước thực hi ện ISO 27001:2005 – Cách ti ếp cận áp dụng th ực tế.

3. Ích lợi


NHU CẦU CẦN CÓ CỦA HT AN TOÀN THÔNG TIN


Nhu cầu cần có c ủa tiêu chu ẩn

♦ Trước những năm 1970, công nghệ ATTT => Chính phủ, Quân sự, hay Ngân hàng

♦ Internet và kinh doanh trên mạng “on-line”, ATTT => nhận dạng, chứng thực, và quản lý người sử dụng…

♦ Pháp luật về Chữ ký ñiện tử tạo ñiều kiện cho việc phát triển e-business, e-commerce

♦ Mọi người cần niềm tin và thực hiện có hiệu lực => HTQL ATTT


Các HTQL nh ằm cải ti ến & cung c ấp lòng tin

♦ ðảm bảo chất lượng sản phẩm & thoả mãn khách hàng => ISO 9001

♦ Bảo vệ môi trường sống cho cộng ñồng => ISO 14001 …

♦ ðảm bảo Sức khoẻ, an toàn người lao ñộng => OHSAS 18001

♦ ðảm bảo vệ sinh thực phẩm => ISO 22000

♦ Bảo mật thông tin liên lạc – là một loại tài sản ñặc thù => ???

♦ HTQL ATTT


Lịch sử của bộ tiêu chu ẩn


Bộ tiêu chu ẩn ISO 27000 của JTC1 – SC 27

ISO/FCD

27000

IT - ISMS – Nguyên t ắc và từ vựng

ISO/FCD

27004IT - ISMS –ðo lường

ISO27001: 2005

ISO27001: 2005

IT - ISMS –Các yêu c ầu

ISO19011ISO

19011

Hướng dẫn ñánh giá

chung HTQL

ISO27002:2005

ISO27002:2005

ISO27005:2008

ISO27005:2008

ISO/CD

27003

IT - ISMS - Hướng dẫn áp dụng

IT – Security Technique - Qui tắc Thực hành ISMS (ISO 17799 :2005 & 2007)

IT – Security Technique -Quản lý r ủi ro

ISO27006:2007

ISO27006:2007

IT – Security Technique -

Yêu cầu cho các tổ chức ñánh giá &

chứng nh ận

… và còn 27011, 12, 33 part 1-7

* 29100, 101, 150


♦ Phát triển và hoàn thiện những tiêu chuẩn cơ bản: 27000 - Cơ sở, từ vựng, 27004 – ðo lường

♦ Phát triển và hoàn thiện những tiêu chuẩn Hướng dẫn (chung và ñặc thù): 27003 – Áp dụng, 27007 – ðánh giá, 27011 –Telecomunication, 27012 – E Government, 27032 -Cybersecurity

♦ ðưa ra kỹ thuật bảo mật cho mạng – IT network: Bộ tiêu chuẩn 27033-1 cho tới 27033-7

Xu hướng phát tri ển của Bộ tiêu chu ẩn ISO 27000

Nguồn: ISO/JTC1/SC27


GIỚI THIỆU ISO 27001:2005 & CÁC BƯỚC ÁP DỤNG THỰC TẾ


ðịnh nghĩa:

� THÔNG TIN là một loại tài sản, giống như những tài sản kinh doanh quan

trọng khác, thông tin có giá trị ñối với một tổ chức và do ñó cần ñược BẢO VỆ

một cách hợp lý. (ISO/IEC 17799:2000)

Thông tin là gì?

ðược tạo ra Lưu trữ ðược xử lý

ðược chuy ển giao ðược sử dụng

Bị phá hu ỷ Bị thất lạcBị sửa ñổi

Thông tin có th �:


CIA (Confidential-Integrity-Availability):

� TÍNH BẢO MẬT: Thông tin không sẵn có hoặc không nên ñể lộ cho cá nhân, tổ chức, ñối tượng chưa ñược uỷ quyền

� TÍNH TOÀN VẸN: Thông tin ñược bảo vệ và ñược giữ gìn trọn vẹn

� TÍNH SẴN CÓ: Luôn sẵn sàng vàsẵn có sử dụng khi cần cho ñối tượng ñã ñược uỷ quyền

(ISO/IEC 27001:2005 – Các yêu cầu)

An toàn thông tin là gì?

Tính bảo mật

Tính toàn v ẹn

Tính sẵn có

Các tổ chức cần ñạt ñược sựcân b ằng…

“Sự duy trì các thu ộc tính: tính b ảo mật, tính toàn v ẹn và tính s ẵn có c ủa thông tin; ngoài ra, các thu ộc tính khác nh ư tính xác th ực, trách nhi ệm gi ải trình, tính thừa nhận và tính ñáng tin c ậy cũng có th ể liên quan”


ð�nh ngh ĩa:

“Hệ thống quản lý an toàn thông tin (ISMS) là một phần của hệ thống quản lý tổng thế, dựa trên cách tiếp cận theo rủi ro của kinh doanh, ñể thiết lập, thực hiện, ñiều hành, giám sát, xem xét, duy trì và cải tiến việc bảo mật thông tin”

Ghi chú: hệ thống quản lý bao gồm: cấu trúc của tổ chức, chính sách, các hoạt ñộng hoạch ñịnh, trách nhiệm, việc thực hành, thủ tục, qui trình và nguồn lực.”

(ISO 27001:2005 cl 3.7)

Hệ thống qu ản lý An toàn thông tin - ISMS là gì?

H� th�ng

qu�n lý

ISMS

Nhưng nh ững lợi ích có ñược là gì?


Các bên hữu quan

An toàn

thông tin

ñược quản lý

Thiết lập hệthống ISMS

Thực hi ện và ñiều hành h ệthống ISMS

Duy trì và c ải tiến hệ thống

ISMS

Giám sát và ñánh giá h ệthống ISMS

Chu k ỳ phát tri ển, duy trìvà cải ti ến

Plan

Do

Check

Act

Các bên hữu quan

Mong muốn và

yêu cầu An toàn

thông tin

Giới thi ệu ISO 27001:2005



► 4 Hệ thống qu ản lý an toàn thông tin

� 4.1 Các yêu c ầu tổng quát

� 4.2 Thiết lập và qu ản lý h ệ thống ISMS

� 4.3 Những yêu c ầu về tài li ệu

► 5 Trách nhi ệm lãnh ñạo

� 5.1 Cam kết của lãnh ñạo

� 5.2 Quản lý các ngu ồn lực

► 6 ðánh giá n ội bộ hệ thống ISMS

► 7 Xem xét lãnh ñạo hệ thống ISMS

► 8 Việc cải ti ến ISMS

� 8.1 Cải tiến thường xuyên

� 8.2 Hành ñộng sửa chữa

� 8.3 Hành ñộng phòng ng ừa

Phụ lục A bao g ồm :

► 11 phần:5. Chính sách ISMS6. Cơ cấu tổ chức ISMS7. Quản lý tài s ản8. Bảo mật ngu ồn nhân l ực9. Bảo mật môi tr ường vật lý10. Quản lý ho ạt ñộng và truy ền thông11. Kiểm soát truy c ập12. Thu nạp, duy trì và phát tri ển hệ thống

thông tin13. Quản lý s ự cố ISMS14. Duy trì liên t ục hoạt ñộng kinh doanh15. Tính tuân th ủ

► 39 mục tiêu ki ểm soát

► 132 mục kiểm soát


ISMS theo ISO 27001:2005

Một số “vấn ñề” có thể tồn tại của các HTQL vận hành theo tiêu chuẩn quốc tế ISO (9001, 14001, 22000…):

♦ Phức tạp nhiều hệ thống

♦ Tốn giấy, tốn công

♦ Hình thức, không thực tế

♦ Hiệu quả kém

Tiêu chuẩn này chỉ rõ:

♦ Mục 0.1 Tổng quan “Áp dụng ISMS với mức ñộ tuỳ thuộc vào nhu cầu của tổchức, nghĩa là tình hu �ng ñn gi�n ch yêu c�u ISMS ñn gi�n”

♦ Mục 0.3 Tương thích với các HTQL khác: “Tiêu chuẩn quốc tế này hoàn toàn tương thích vói ISO 9001:2000 và ISO 14001:2004 ñể hỗ trợ cho việc áp dụng và vận hành tích hợp. M�t HTQL ñ �c thi �t k� thích h �p có th � tho�mãn t�t c� các tiêu chu �n này ”

♦ Mục 1.2 Áp dụng / Chú thích: “Dùng HTQL hi�n có ñể thoả mãn các yêu cầu của tiêu chuẩn này sẽ tốt hơn trong ña số các trường hợp”


Phạm vi & ranh gi ới

Xây dựng ISMS theo ISO 27001:2005

Li ệt kê, kiểm kê và ñánh giá các loại tài sản (thông tin)

Chính SáchISMS

Xác ñịnh các mối ñe doạ (threat) Xác ñịnh các lỗ hổng (vulnerability)

Phương pháp ñánh giá rủi ro ðánh giá rủi ro & tác ñộng

Dự toán mức rủi ro (risk levels)

Xác ñịnh rủi ro chấp nhận hay không

KHÔNG

Kế hoạch xử lý rủi ro theo ưu tiên:1. Loại bỏ (tránh)2. Chuyển giao3. Áp dụng các mục kiểm soát4. Biết & chấp nhận có kiểm soát

Công bố Áp dụng (SOA)


SO SÁNH VỚI HTQL HIỆN CÓ (ISO 9001:2008)

► 4 Hệ thống qu ản lý an toàn thông tin

� 4.1 Các yêu c ầu tổng quát

� 4.2 Thiết lập và qu ản lý h ệ thống ISMS

� 4.3 Những yêu c ầu về tài li ệu

► 5 Trách nhi ệm lãnh ñạo

� 5.1 Cam kết của lãnh ñạo

� 5.2 Quản lý các ngu ồn lực

► 6 ðánh giá n ội bộ hệ thống ISMS

► 7 Xem xét lãnh ñạo hệ thống ISMS

► 8 Việc cải ti ến ISMS

� 8.1 Cải tiến thường xuyên

� 8.2 Hành ñộng sửa chữa

� 8.3 Hành ñộng phòng ng ừa

ISO 27001:2005 HTQL hi ện có (hay ISO 9001:2000)

4.2.3 &4.2.45.1 & 5.2

6.28.2.25.6

8.5.18.5.28.5.3

Bảng so sánh tương ñồng giữa 9001/14001&27001:

Xem trang trước


PRESIDENTE

MKT

VTS

SPV

AAR

ACAB

D&D

PLD

PROY

ADQ

PLA

CMP

CINV

OPER

PLM

CORTE

ENS

LOG

ALM

EMB

ENTR

FIN

CONT

FACT

COBR

Tương tự ISO 9001



► 11 phần:5. Chính sách ISMS6. Cơ cấu tổ chức ISMS7. Quản lý tài s ản8. Bảo mật ngu ồn nhân l ực9. Bảo mật môi tr ường vật lý10. Quản lý ho ạt ñộng và truy ền

thông11. Kiểm soát truy c ập12. Thu nạp, duy trì và phát tri ển

hệ thống thông tin13. Quản lý s ự cố ISMS14. Duy trì liên t ục hoạt ñộng kinh

doanh15. Tính tuân th ủ


► 132 biện pháp Kiểm soát

Giống ISO 9001 Our organisation is committe

d to

excellence and satisfaction of all our

customers, employees, suppliers and

society in general. Continual im

provement

is a permanent activity. Our goal is to

design manufacture and market quality

products and services at competitive

prices and become leaders in our sector.

J. J. President

QualityPolicy

Khaùch haøng

Các tổ chức chuyên môn

Các bên cung cấp thứ Ba

Kiểm kê – Có ch ủ - Phân lo ại – Nhãn - Qð sử dụng

Mới so với ISO

9001 nhưng bài bản










Nhân viên/nhà th ầu/bên th ứ 3 – trước/trong/sauH ð

Tương tựISO 9001

Tương tự ISO 9001











ÍCH LỢI


♦Bảo vệ tài sản thông tin một cách thích hợp

♦ Kiểm soát dựa trên rủi ro

♦ Không bị Thiếu / Thừa

♦Lợi thế cạnh tranh

♦Sự tuân thủ pháp luật

♦Hình ảnh

♦Lợi nhuận

Lợi ích c ủa an toàn thông tin

♦Thành lập nền tảng vững chắc cho chính sách bảo mật thông tin

♦Là bằng chứng thấy ñược vềnhững thực hành ñược áp dụng cho các bên quan tâm:

♦ Các khách hàng thương mại

♦ Khách hàng là người sử dụng cuối cùng

♦ ðối với nhân viên (kiểm toán)

♦ ðối với các cơ quan quản lý


BUREAU VERITAS CERTIFICATION VIETNAM

►Phát hành 2000 Giấy chứng nhận phù hợp với các tiêu chuẩn quốc tế cho các HTQL

►Phù hợp ISO 17021:2006 & ñược chuyển thành Trung tâm chứng nhận (ICC) từ tháng 9 năm 2008

� Quyết ñịnh chứng nhận với công nhận của UKAS & ANAB.

� Kịp thời hơn với nhu cầu khách hàng

►Có chuyên gia ñánh giá người Việt Nam

►Khách hàng tiêu biểu tại Việt Nam ISO 27001:2005–UKAS công nhận

� YKK.

� BKIS


Documents

Hệth ống Qu ản lý An toàn Thông Tin (ISMS) theo ISO 27001 ...antoanthongtin.vn/Portals/0/UploadImages/kiennt2/KyYeu/DuLieuTrongNuoc... · qu ốc t ế ISO (9001, 14001,