ĐÁNH GIÁ AN TOÀN THÔNG TIN

II. Chuẩ n và tiêu chí đá nh giá ATTT

Tiêu chí chung ISO/IEC 15408
ISO/IEC 27001
ISO/IEC 17799
Một số chuẩn và tiêu chí khác

Các tiêu chuẩn liên quan

 ISO 27001:2005 “Information Technology – Security techniques -
Information security management system”
 ISO/IEC 17799:2000 và phiên bả n ISO/IEC 17799:2005 (ISO/IEC
27002) “Code of practice for information security management”
 TCVN 7562:2005 “Mã thự c hà nh quả n lý an ninh thô ng tin”.

ISO 27001
Ban hà nh và o thá ng 10/2005
Mụ c tiêu
Đưa ra mộ t mô hình cho việc thiết lậ p, triển khai, điều hà nh, giá m sá t,
soá t xét, bả o trì và nâ ng cấ p hệ thố ng quả n lý an toà n thô ng tin (ISMS).
Phạ m vi á p dụ ng
Á p dụ ng rộ ng rãi cho cơ quan/tổ chứ c khá c nhau: tổ chứ c thương mạ i,
cơ quan nhà nướ c, cá c tổ chứ c phi lợ i nhuậ n
 Nộ i dung
 Hệ thố ng quả n lý an toà n thô ng tin (ISMS)
 Trá ch nhiệm củ a Ban quả n lý
 Kiểm tra nộ i bộ hệ thố ng ISMS
 Rà soá t hệ thố ng ISMS
 Nâ ng cấ p hệ thố ng ISMS

1
Quá trình hình thành

Quá trình hình thà nh

Bộ tiêu chuẩn

2
ISO 27001 – Các yêu cầu (theo cấu trúc)

3
11 Mục tiêu kiểm soát

Mô hình PDCA

4
Quản lý rủi ro

Kiểm soát rủi ro và cách thức xử lý rủi ro đối với tài sản thông tin

5
Kiểm soát rủi ro và cách thức xử lý rủi ro đối với tài sản thông tin

Kiểm soát rủi ro và cách thức xử lý rủi ro đối với tài sản thông tin

6
Kiểm soá t rủ i ro và cá ch thứ c xử lý rủ i ro đố i vớ i tà i sả n thô ng tin

Kiểm soá t rủ i ro và cá ch thứ c xử lý rủ i ro đố i vớ i tà i sả n thô ng tin

An ninh nguồ n lự c

7
An ninh vậ t lý và mô i trườ ng

Trình tự xây dự ng và thiết lậ p

8
Mục đích
ISO/IEC 17799 là chuẩ n quố c tế về hướ ng dẫ n thự c hiện quả n lý an toà n thô ng
tin và đề cậ p đến mọ i thà nh phầ n trong trong doanh nghiệp có ả nh hưở ng đến
ATTT

Nội dung tóm tắt

Nộ i dung tiêu chuẩ n nà y gồ m có mườ i hai phầ n, đưa ra cá c khuyến nghị về
cô ng tá c quả n lý an ninh thô ng tin cho nhữ ng ngườ i có trá ch nhiệm cà i đặ t,
thự c thi hoặ c duy trì an ninh trong tổ chứ c củ a họ . Tiêu chuẩ n nà y nhằ m cung
cấ p mộ t cơ sở chung để xây dự ng cá c tiêu chuẩ n an ninh trong tổ chứ c và thự c
hà nh quả n lý an toà n thô ng tin mộ t cá ch hiệu quả và tạ o sự tin cậ y trong cá c
giao dịch liên tổ chứ c.

9
ISO 17799

An toàn tổ chức

- Xá c định các mụ c tiêu an toà n thô ng tin đá p ứ ng yêu cầ u củ a tổ chứ c.

- Thiết lậ p phạ m vi củ a ISMS
- Đả m bả o đủ nguồ n lự c đượ c cung cấ p để phá t
triển, thự c hiện, vậ n hà nh và duy trì ISMS.
- Phương phá p đá nh giá hiệu quả khi triển khai
ISMS.
- Phâ n rõ vài trò và trá ch nhiệm củ a từ ng bộ
phậ n, từ ng cá nhâ n trong qui trình đả m bả o an
ninh thô ng tin.

Quản lý tài sản

Mụ c tiêu kiểm soá t nà y là "để đạ t đượ c và duy
trì mứ c độ bả o vệ thích hợ p tà i sả n củ a tổ chứ c”
- Thố ng kê tà i sả n
- Chủ sở hữ u tà i sả n
- Mụ c tiêu sử dụ ng tà i sả n
- Phâ n loạ i thô ng tin
Mứ c độ bả o mậ t cho từ ng trạ ng thá i và từ ng loạ i dữ liệu

An toàn nguồn nhân lực

Trướ c khi tuyển dụ ng: Đả m bả o rằ ng cá c nhâ n viên, nhà thầ u và các bên thứ
ba hiểu rõ trá ch nhiệm củ a mình và phù hợ p vớ i vai trò đượ c giao, đồ ng thờ i
giả m thiểu cá c rủ i ro về việc đá nh cắ p, gian lậ n hoặ c lạ m dụ ng chứ c nă ng,
10
quyền hạ n:
+ Điều khoả n và điều kiện tuyển dụ ng
+ Vai trò và trá ch nhiệm
+ Sà ng lọ c
Trong qua quá trình là m việc: Đả m bả o rằ ng mọ i nhâ n viên củ a tổ chứ c, nhà
thầ u và bên thứ ba nhậ n thứ c đượ c cá c mố i nguy cơ và cá c vấ n đề liên quan
tớ i an toà n thô ng tin, trá ch nhiệm và nghĩa vụ phá p lý củ a họ , và đượ c trang bị
cá c kiến thứ c, điều kiện cầ n thiết nhằ m hỗ trợ chính sá ch an toà n thô ng tin củ a
tổ chứ c trong quá trình là m việc, và giả m thiểu cá c rủ i ro do con ngườ i gâ y ra:
+ Trá ch nhiệm ban quả n lý
+ Nhậ n thứ c, giá o dụ c và đà o tạ o về an toà n thô ng tin
+ Xử lý kỷ luậ t
Trong qua quá trình là m việc: Nhằ m đả m bả o rằ ng cá c nhâ n viên củ a tổ chứ c,
nhà thầ u và cá c bên thứ ba nghỉ việc hoặ c thay đổ i vị trí mộ t cá ch có tổ chứ c.
+ Trá ch nhiệm kết thú c hợ p đồ ng
+ Bà n giao tà i sả n
+ Hủ y bỏ quyền truy cậ p

An toàn vật lý và môi trường

Theo dõ i và giớ i hạ n việc truy cậ p để phá t hiện,
trá nh và giả m thiểu tố i đa cá c truy cậ p trá i phép là m ả nh hưở ng đến hệ thố ng.
- Danh sá ch nhữ ng ngườ i đượ c truy cậ p và o nhữ ng khu vự c an toà n phả i đượ c
xem xét và phê duyệt và phê duyệt bở i ngườ i quả n trị, bộ phậ n bả o mậ t thiết bị
và có sự kiểm tra chéocủ a nhữ ng ngườ i quả n lý giữ a các bộ phậ n đó .
- Cấ m chụ p ả nh hoặ c ghi hình Ghi nhậ n đố i tượ ng, thờ i gian và mụ c đích truy
cậ p củ a từ ng đố i tượ ng.
- Danh sá ch nhữ ng ngườ i đượ c truy cậ p và onhữ ng khu vự c an toà n phả i đượ c
xem xét và phê duyệt và phê duyệt bở i ngườ i quả n trị, bộ phậ n bả o mậ t thiết
bị và có sự kiểm tra chéo củ a nhữ ng ngườ i quả n lý giữ a cá c bộ phậ n đó .
- Cấ m chụ p ả nh hoặ c ghi hình
- Sử dụ ng thẻ từ và thờ i gian truy cậ p để kiểm
soá t việc truy cậ p.

Quản lý truyền thông và điều hành

Nhằ m đả m bả o sự điều hà nh cá c phương tiện xử lý thô ng tin đú ng đắ n và an
toà n. Cầ n thiết lậ p cá c trá ch nhiệm và thủ tụ c quả n lý và khai thá c cho tấ t cả
cá c phương tiện xử lý thô ng tin. Bao gồ m cả việc xâ y dự ng cá c thủ tụ c khai
thá c phù hợ p. Nếu phù hợ p thì cầ n triển khai phâ n định cá c nhiệm vụ nhằ m
giả m rủ i ro do sử dụ ng cẩ u thả hoặ c lạ m dụ ng hệ thố ng mộ t cá ch có chủ ý.

Quản lý truy cập

11
Nhằ m đả m bả o ngườ i dù ng hợ p lệ đượ c truy cậ p và ngă n chặ n nhữ ng ngườ i
dù ng khô ng hợ p lệ truy cậ p trá i phép đến hệ thố ng thô ng tin.
- Vậ t lý
- Mạ ng
- Hệ điều hà nh
- Ứ ng dụ ng
Quả n lý truy cậ p mạ ng:
- Phâ n vù ng mạ ng
- Bả o vệ cổ ng cấ u hình
- Định danh thiết bị trong cá c mạ ng
- Chính sá ch sử dụ ng các dịch vụ mạ ng
- Xá c thự c ngườ i dù ng cho các kết nố i bên ngoà i
- Quả n lý kết nố i mạ ng
- Quả n lý định tuyến mạ ng
- Log
Quả n lý truy cậ p mạ ng:
- Phâ n vù ng mạ ng
- Bả o vệ cổ ng cấ u hình
- Định danh thiết bị trong cá c mạ ng
- Chính sá ch sử dụ ng các dịch vụ mạ ng
- Xá c thự c ngườ i dù ng cho các kết nố i bên ngoà i
- Quả n lý kết nố i mạ ng
- Quả n lý định tuyến mạ ng
- Log

Thu nhận, phát triển và bảo trì hệ thống

Tính đú ng đắ n trong xử lý củ a cá c ứ ng dụ ng: Nhằ m ngă n chặ n cá c lỗ i, mấ t má t,
sử a đổ i hoặ c sử dụ ng trá i phép thô ng tin trong cá c ứ ng dụ ng.
- Kiểm tra tính hợ p lệ củ a dữ liệu nhậ p và o
- Kiểm soá t việc xử lý nộ i bộ
- Tính toà n vẹn thô ng điệp
- Kiểm tra tính hợ p lệ củ a dữ liệu đầ u ra
Quả n lý CIA: Nhằ m bả o vệ tính bí mậ t, xá c thự c hoặ c toà n vẹn củ a thô ng tin
bằ ng cá c biện phá p mã hó a.
- Chính sá ch sử dụ ng các biện phá p quả n lý mã hó a
- Quả n lý khó a
Bả o đả m an toà n trong cá c quy trình hỗ trợ và phá t triển:
- Các thủ tụ c quả n lý thay đổ i
- Kiểm soá t kỹ thuậ t cá c ứ ng dụ ng sau thay đổ i củ a hệ thố ng điều hà nh.
- Hạ n chế thay đổ i cá c gó i phầ n mềm
- Sự rò rỉ thô ng tin
- Phá t triển phầ n mềm thuê khoá n
12
Quả n lý cá c điểm yếu về kỹ thuậ t: Nhằ m giả m thiểu cá c mố i nguy hiểm xuấ t
phá t từ việc tin tặ c khai thá c cá c điểm yếu kỹ thuậ t đã đượ c cô ng bố

Quản lý kinh doanh liên tục

Chố ng lạ i cá c giá n đoạ n trong hoạ t độ ng nghiệp vụ và bả o vệ cá c quy trình
hoạ t độ ng trọ ng yếu khỏ i cá c ả nh hưở ng do lỗ i hệ thố ng thô ng tin hay cá c
thả m hoạ và đả m bả o khả nă ng khô i phụ c cá c hoạ t độ ng bình thườ ng đú ng lú c.
- Đá nh giá rủ i ro và sự liên tụ c trong hoạ t độ ng củ a tổ chứ c
- Kiểm tra, bả o trì và đá nh giá lạ i cá c kế hoạ ch đả m bả o sự liên tụ c trong
hoạ t độ ng củ a tổ chứ c

Sự tuân thủ
Nhằ m trá nh sự vi phạ m phá p luậ t, quy định, nghĩa vụ theo cá c hợ p đồ ng đã ký
kết, cá c yêu cầ u về bả o đả m an toà n thô ng tin.
- Xá c định cá c điều luậ t hiện đang á p dụ ng đượ c
- Quyền sở hữ u trí tuệ (IPR)
- Bả o vệ cá c hồ sơ tổ chứ c
- Bả o vệ dữ liệu và sự riêng tư củ a thô ng tin cá nhâ n
- Ngă n ngừ a việc lạ m dụ ng phương tiện xử lý thô ng tin

13