AN TOÀN HTTT

1. ISO 27001
 Tại sao phải bảo mật thông tin
• Thông tin là yếu tố cơ bản đảm bảo các hoạt động kinh doanh
• Thông tin được coi là tài nguyên như vốn kinh doanh hay nguồn nhân lực
An ninh an toàn thông tin

 An ninh thông tin là gì?

• Tính mật (Confidentiality)
• Tính toàn vẹn(Integrity)
• Tính sẵn dùng (Availability)
Các vấn đề đặt ra

 Đến đầu những năm 1990 bảo mật thông tin được đảm bảo bởi
nhiều bộ phận không theo các quy tắc chung
 Nhu cầu bảo mật thông tin tăng dần theo thời gian khi xuất hiện
nhu cầu chia sẻ thông tin việc bảo mật thông tin thường tiến hành
nhỏ lẻ, không đảm bảo
 Bảo mật thông tin thường tập trung vào bảo mật số liệu trong máy
tính mà ít quan tâm đến các dạng thông tin khác
Quy tắc thực tế (Code of Practice)

 1993: DTI (Department of Trade and Industry),một số công ty hàng

đầu của Anh cùng một số tổ chức đã tạo ra một bảng các yếu tố
thực tiễn của công tác bảo mật thông tin
 Bảng tập hợp này chú trọng đến tất cả các dạng của thông tin:
Thông tin trong các hệ thống máy tính, văn bản viết, bản ghi âm bài
nói, vi film….
Quy tắc thực tế - mục đích

 Quy tắc thực tế cung cấp:

• Các nền tảng phổ biến của các tổ chức để phát triển, triển khai và đánh giá
công tác bảo mật
• Bảo mật trong các công việc của công ty
Sự phát triển BS-7799

1993 - 1995
BS7799:1995
Tư vấn

ISO/IEC 17799: 2000 BS7799: PART 2

PART 1 ISMS
(1998-2002)

ISO/IEC 27001: 2005

PART 1
BS 7799

 BS 7799 là một tiêu chuẩn gồm 2 phần

• ISO/IEC 17799:2000 (Part 1) là tập hợp các yếu tố thực tiễn có thể gặp. Có
thể coi là một danh sách toàn diện và bảo mật Công nghệ Thông tin với 127
điểm.
• BS-7799-2:2002 (Part 2) là đặc tả tiêu chuẩn cho một Hệ thống bảo mật
Thông tin ISMS
ISMS (Information Security management system)

 ISMS là một phần của một hệ thống quản trị cho mỗi tổ chức bao
gồm thiết kế, triển khai, kiểm tra theo dõi, duy trì và nâng cấp bảo
mật của cơ quan
 ISMS bao gồm những chính sách bảo mật, các thủ tục, các quy
trình và các nguồn lực
Chứng nhận ISO27001

9%
Part 1: Code of Practices
Mười nội dung chính của ISO 17799 / 27001

Chính sách bảo mật

Bảo mật
Tính phù hợp
trong cơ quan

Quản lý sự liên
Phân loại đối tượng
tục của công việc Integrity Confidentiality
và cách kiểm soát

Information

Phát triển và
Bảo mật cá nhân
bảo trì hệ thống
Availability

Kiểm soát Bảo mật

truy nhập mức vật lý
Quản trị các giao tiếp
và các hoạt động
Quy tắc thực tế cho ISMS
Chính sách bảo mật

 Chính sách bảo mật -

Nhằm thiết lập những chính
sách rõ ràng cho bảo mật
thông tin
 Chính sách bảo mật phải
được thường xuyên xem xét
lại
Quy tắc thực tế của ISMS
Bảo mật trong cơ quan

 Cơ cấu tổ chức để bắt đầu

và kiểm soát việc triển khai
bảo mật thông tin
 Quy tắc thực tế cho ISMS
Phân loại đối tượng & Kiểm soát
 Mỗi tài nguyên được mô tả,
ghi nhận, xác nhận sở hữu
phân loại
Các ví dụ đối tượng

People
Mô hình bảo mật thông tin ISO 7498-2

 Đối tượng
 Phương thức bảo mật
 Dịch vụ bảo mật Dv2 Dv3
Dv1
 Quản trị bảo mật

QC1
QA

PT1
PT2
PT3
PT4
PT5
QC2 Đt1 Đt3 Đt5 Đt6

Đt2 Đt4
Phân tích rủi ro: Impact vs. Probability

High Medium Risk High Risk

I
M Share Mitigate & Control
P
A
Low Risk Medium Risk
C
T
Accept Control

Low PROBABILITY High

© February 26, 2021 18

Quy tắc thực tế của ISMS
Bảo mật cá nhân

 Mức độ rõ ràng (lí lịch) cá nhân

 Các thoả thuận về sự bảo mật nội bộ
 Các nội quy bảo mật với người lao
động
 Huấn luyện về bảo mật cho người lao
động
 Cơ chế thông báo về các sự cố trong
bảo mật
 Xử lý kỷ luật
Quy tắc thực tế của ISMS
Bảo mật mức vật lý

 Các lớp bảo vệ

 Bảo vệ các lối vào
 Bảo mật tại các phòng và
các công cụ bảo mật
 Bảo mật các vùng làm việc
 Bảo mật các điểm nhập và
xuất
 Bố trí chỗ ngồi làm việc và
nơi đặt các thiết bị
Quy tắc thực tế của ISMS
Quản trị quá trình giao tiếp và các hoạt động
 Trình tự thao tác và trách nhiệm
 Kiểm soát quá trình thay đổi
 Quản trị sự cố
 Quản lý và lập kế hoạch dung luơng cho các hệ thống xử lý thông tin
 Chống các phần mềm phá hoại
 Quản trị nhật ký - Logs
 Quản trị mạng
 Quản lý thiết bị lưu trữ thông tin
 Lập tài liệu về hệ thống bảo mật
 Bảo mật cho quá trình tro đổi thông tin và cho thương mại điện tử
Quy tắc thực tế của ISMS
Kiểm soát truy nhập
 Các yêu cầu về truy nhập cho từng công việc
 Chính sách kiểm soát truy nhập
 Quản trị truy cập mạng
 QUản trị truy nhập hệ điều hành
 Kiểm soát truy nhập các ứng dụng
 Theo dõi qua trình truy nhập hệ thống
 Quản trị các thiết bị lưu động
Quy tắc thực tế của ISMS
Phát triển hệ thống
 Bảo mật trong quá trình phát triển
 Quản lý việc mã hoá
 Phân tích và mô tả rõ Các yêu cầu bảo mật
Quy tắc thực tế của ISMS

Quản lý sự liên tục của công việc

 Phân tích các ảnh hưởng
 Lập kế hoạch
 Triên khai cơ cấu dẩm bảo
(Framework)
 Kiểm tra và kế hoạch khảo
sát
 Quy tắc thực tế của ISMS
Sự phù hợp
 Tránh sự không phù hợp với
pháp luật, quy định của công ty
 Chắc chắn rằng hệ thống bảo
mật đang hoạt động
Phương pháp triển khai ISMS

 Sử dụng mô hình Lập kế

PLAN
hoạch , Thực hiện, Kiểm tra, (Establish
the ISM)
Bảo trì và mở rộng (Plan,
Do, Check, Act PDCA)
DO ACT(Maintain
(Implement) and improve
the ISM)

CHECK
(Monitor)
Phương
pháp triển
khai ISMS
Các điểm mấu chốt

 Các tài sản của công ty là đối tượng cần bảo vệ. Các mối nguy hại
có các dạng chính
• Tình cờ (Accidental)
• Tự nhiên (Natural)
• Có chủ định(Deliberate)
 Việc xây dụng hệ thống bảo mật cần dựa trên việc phân tích các
nguyên nhân rủi ro phá hoại các đối tượng cần bảo vệ
Quy trình quản trị rủi ro

Xác định đôis tượng cần bảo vệ

Khảo sát các nguy cơ và điểm yếu

Lựa chọn các cách kiểm soát