Professional Documents
Culture Documents
1. ISO 27001
Tại sao phải bảo mật thông tin
• Thông tin là yếu tố cơ bản đảm bảo các hoạt động kinh doanh
• Thông tin được coi là tài nguyên như vốn kinh doanh hay nguồn nhân lực
An ninh an toàn thông tin
Đến đầu những năm 1990 bảo mật thông tin được đảm bảo bởi
nhiều bộ phận không theo các quy tắc chung
Nhu cầu bảo mật thông tin tăng dần theo thời gian khi xuất hiện
nhu cầu chia sẻ thông tin việc bảo mật thông tin thường tiến hành
nhỏ lẻ, không đảm bảo
Bảo mật thông tin thường tập trung vào bảo mật số liệu trong máy
tính mà ít quan tâm đến các dạng thông tin khác
Quy tắc thực tế (Code of Practice)
1993 - 1995
BS7799:1995
Tư vấn
ISMS là một phần của một hệ thống quản trị cho mỗi tổ chức bao
gồm thiết kế, triển khai, kiểm tra theo dõi, duy trì và nâng cấp bảo
mật của cơ quan
ISMS bao gồm những chính sách bảo mật, các thủ tục, các quy
trình và các nguồn lực
Chứng nhận ISO27001
9%
Part 1: Code of Practices
Mười nội dung chính của ISO 17799 / 27001
Bảo mật
Tính phù hợp
trong cơ quan
Quản lý sự liên
Phân loại đối tượng
tục của công việc Integrity Confidentiality
và cách kiểm soát
Information
Phát triển và
Bảo mật cá nhân
bảo trì hệ thống
Availability
People
Mô hình bảo mật thông tin ISO 7498-2
Đối tượng
Phương thức bảo mật
Dịch vụ bảo mật Dv2 Dv3
Dv1
Quản trị bảo mật
QC1
QA
PT1
PT2
PT3
PT4
PT5
QC2 Đt1 Đt3 Đt5 Đt6
Đt2 Đt4
Phân tích rủi ro: Impact vs. Probability
I
M Share Mitigate & Control
P
A
Low Risk Medium Risk
C
T
Accept Control
CHECK
(Monitor)
Phương
pháp triển
khai ISMS
Các điểm mấu chốt
Các tài sản của công ty là đối tượng cần bảo vệ. Các mối nguy hại
có các dạng chính
• Tình cờ (Accidental)
• Tự nhiên (Natural)
• Có chủ định(Deliberate)
Việc xây dụng hệ thống bảo mật cần dựa trên việc phân tích các
nguyên nhân rủi ro phá hoại các đối tượng cần bảo vệ
Quy trình quản trị rủi ro