1.DaoTaoNhanThuc-HeThongQuanLy-27001 2022 VNPOST 240227

ĐÀO TẠO NHẬN THỨC
HỆ THỐNG QUẢN LÝ AN TOÀN THÔNG TIN

theo TIÊU CHUẨN ISO/IEC 27001:2022
ISO Digital Application System
tại VNPOST
Hà Nội, ngày 27 tháng 02 năm 2024
Người trình bày: Nguyễn Trần Dũng -LA

CÔNG TY TNHH
TƯ VẤN CHẤT LƯỢNG VÀ PHÁT TRIỂN CÔNG NGHỆ
Trụ sở: Tầng 6, Khu Văn phòng, Tòa nhà JSC 34,
Số 164, Khuất Duy Tiến, Thanh Xuân, Hà Nội
Tel: 024.22250710 - Fax: 024.22250711
Website: www.idasonline.com; www.idas.vn

Email: info@idasonline.com
ISO Consultancy www.idasonline.com Page 2

MỤC ĐÍCH:
Giúp tổ chức nhận thức về:
 hệ thống quản lý an to{n thông tin theo tiêu chuẩn
ISO/IEC 27001:2022
ĐỐI TƯỢNG:
 L~nh đạo
 C|n bộ quản lý
 Nh}n sự liên quan

NỘI DUNG TRÌNH BÀY
[1] Khái niệm ISO là gì?

[2] Hệ thống quản lý an to{n thông tin
[3] Nội dung tiêu chuẩn ISO/IEC 27001:2022
[4] C|c bước triển khai ISO/IEC 27001:2022
[5] Các lưu ý khi triển khai ISO/IEC 27001:2022

ISO là gì?
ISO – Tổ chức Quốc tế về Tiêu chuẩn hóa

International Organization
for Standardization
www.iso.org
“ISO” – tiếng Hy Lạp l{ “isos” = equal = bằng nhau
Tổ chức ISO
⦿ ISO là một tổ chức quốc tế độc lập, phi chính phủ;

⦿ Trụ sở tại Geneva, Thụy Sĩ;
⦿ ISO thành lập 1946, hoạt động 1947
Việt Nam là thành viên từ 1977
⦿
⦿ Thành viên là các cơ quan tiêu chuẩn quốc gia.
⦿ ISO tập hợp các chuyên gia để chia sẻ kiến thức và xây dựng các
Tiêu chuẩn quốc tế phù hợp với thị trường, dựa trên sự tự
nguyện và sự đồng thuận nhằm hỗ trợ đổi mới và cung cấp giải
pháp cho các thách thức toàn cầu.

Tổ chức ISO
⦿ ISO là một tổ chức quốc tế độc lập, phi chính phủ;

⦿ Trụ sở tại Geneva, Thụy Sĩ;
⦿ ISO thành lập 1946, hoạt động 1947
Việt Nam là thành viên từ 1977
⦿
⦿ Thành viên là các cơ quan tiêu chuẩn quốc gia.
⦿ ISO tập hợp các chuyên gia để chia sẻ kiến thức và xây dựng các
Tiêu chuẩn quốc tế phù hợp với thị trường, dựa trên sự tự
nguyện và sự đồng thuận nhằm hỗ trợ đổi mới và cung cấp giải
pháp cho các thách thức toàn cầu.

ISO Digital Application System C|c chuẩn ISO phổ biến
⦿ ISO/IEC 27000 - QL An toàn thông tin

⦿ ISO 9000 - QL Chất lượng
⦿ ISO 14000 - QL Môi trường
⦿ ISO 45000 -
QL An to{n Sức
khoẻ nghề nghiệp
⦿ ISO 22000 - QL Thực phẩm
⦿ ISO 50000 - QL Năng lượng

Tổ chức ISO
 ISO l{m ra tiêu chuẩn nhưng không chứng nhận đạt tiêu chuẩn
 C|c t{i liệu ISO l{ có bản quyền v{ tính phí

CHỨNG NHẬN ISO
Cơ quan Công nhận

Accreditation UKAS (UK), ANAB (USA), SAS (Swiss)
ISO 17021:2011
bodies (AB) JASANZ (Australia-New Zealand)
RVA (Holand), BOA (Vietnam),…
Công nhận
Certification
bodies (CB) Tổ chức Chứng nhận (TCCN) ISO 17021:2011
= Registrars D.A.S, QUACERT, VRQC,…
Chứng nhận
ISO 9001:2015,
Organizations ISO/IEC 27001:2022,
Tổ chức/Công ty …

CHỨNG CHỈ HTQL ISO 9001, 27001,…
Số Chứng chỉ ISO To{n cầu

về c|c loại HTQL, đến 2021 (theo ISO):
Tổng số: ~1,950,000/16 chuẩn

Trong đó:
- ISO 9001 = 1,077,884 (Quality MS);

- ISO 14001 = 420,433 (Environment MS);
- ISO 45001= 294,420 (Occup. Health & Safety);
- ISO/IEC 27001 = 58,687 (Info. Security MS);
- ISO 50001 = 22,575 (Energy MS);
- ISO 22000 = 36,124 (Food Safety MS)
- ISO/IEC 20000-1 = 11,769 (IT Service MS);

ISO Digital Application System MẪU CHỨNG CHỈ ISO/IEC 27001

Lợi ích từ c|c Tiêu chuẩn Quốc tế ISO
Đối với ng{nh kinh tế (Manufacture/Service/Business):

• Tăng khả năng cạnh tranh (competitive) - vì cung cấp c|c sản
phẩm/dịch vụ được chấp nhận trên to{n cầu.
• X}m nhập v{o c|c thị trường mới dễ d{ng.

• Tăng lợi nhuận (profits) - vì cung cấp sản phẩm/dịch vụ với
chất lượng (quality)/tính tương thích (compatibility)/an to{n
(safety) tăng.
• Giảm chi phí (costs) - vì không phải ph|t minh lại “bánh xe” và
sử dụng c|c Nguồn lực có sẵn tốt hơn.
• Có lợi ích (benefit) - từ những kiến thức (knowledge) v{ thực
h{nh tốt nhất (best practice) của c|c chuyên gia h{ng đầu trên
to{n thế giới.

[1] ISO là gì?

[2] Hệ thống quản lý An to{n thông tin
[3] Nội dung tiêu chuẩn ISO 9001/27001
[4] Các bước triển khai ISO 9001/27001
[5] Các lưu ý khi triển khai ISO.

Một số khái niệm căn bản về hệ

thống quản lý An toàn thông tin
(Information Security
Management System – ISMS)

C|c kh|i niệm căn bản
Định nghĩa:
• yêu cầu (requirement): nhu cầu hay mong đợi được tuyên bố, thường là
ngụ ý chung hay bắt buộc.
• sự phù hợp (conformity): sự thực hiện đầy đủ một yêu cầu.
• chính sách (policy): Mục đích và định hướng của một tổ chức được thể
hiện chính thức bởi ban quản lý cấp cao
• mục tiêu (objective): Kết quả cần đạt được
• quá trình (process): tập hợp c|c hoạt động có liên quan hoặc tương t|c lẫn
nhau nhằm biến c|c đầu v{o th{nh c|c đầu ra.
• quy trình (procedure): c|ch thức cụ thể để tiến h{nh một hoạt động hay
quá trình.
• Hệ thống: Tập hợp c|c yếu tố có liên quan hay tương t|c lẫn nhau .
ISO 9000:2015
• Hệ thống quản lý: Hệ thống để thiết lập c|c chính s|ch v{ mục tiêu v{ qu|
trình để đạt được c|c mục tiêu đó.

Management?
Quản lý: là các hoạt động có phối hợp để định hướng và kiểm soát
ISO 9000:2015
tổ chức
CHÚ THÍCH 1: Quản lý có thể bao gồm việc thiết lập chính sách (policy) mục
tiêu (objective) và các quá trình (process) để đạt được những mục tiêu n{y.
CHÚ THÍCH 2: Thuật ngữ n{y đôi khi đề cập đến người quản lý, nghĩa l{
người hoặc nhóm người có quyền hạn v{ tr|ch nhiệm đối với việc điều h{nh
v{ kiểm so|t một tổ chức.
Quản lý: các hoạt động để định hướng, kiểm soát, cải tiến liên tục
ISO/IEC 27000:2018
tổ chức, trong một cấu trúc thích hợp.

- C|c hoạt động quản lý gồm: h{nh động (act), c|ch thức (manner),
thực h{nh về việc tổ chức (organizing), xử trí (handling), chỉ đạo
(directing), gi|m s|t (supervising) v{ kiểm so|t (controlling) c|c
nguồn lực (resources).

C|ch tiếp cận qu| trình (Process Approach)
C1. Kh|i niệm:
- Tổ chức cần nhận diện v{ quản lý nhiều hoạt động, nhằm thực hiện chức
năng 1 c|ch hiệu lực, hiệu quả.
- Quá trình (Process): “Tập hợp c|c hoạt động liên quan (interrelated)
hoặc tương t|c (interacting) lẫn nhau, sử dụng c|c đầu v{o để tạo ra
(deliver) kết quả dự kiến.”
- C|ch tiếp cận theo qu| trình: “Hiểu, thiết lập, quản lý một c|ch hệ
thống c|c qu| trình v{ sự tương t|c giữa chúng, để đạt được c|c kết quả
dự kiến”.
Process A Process B
ISO 27001:2022
Process C Process D

Các yếu tố của một quá trình (Elements of a single process)
Điểm đầu Điểm cuối
C|c nguồn Các Các Các Người nhận

Đầu v{o Đầu v{o Hoạt động Đầu ra Đầu ra
CÁC QUÁ TRÌNH CÁC QUÁ TRÌNH

TRƯỚC: VẬT CHẤT, VẬT CHẤT,
NĂNG LƯỢNG, NĂNG LƯỢNG, TIẾP THEO:
- Tại Nh{ cung -Tại Kh|ch h{ng
cấp (nội THÔNG TIN: THÔNG TIN:
-Vật liệu, -Sản phẩm, (nội bộ/ngo{i)
bộ/ngo{i)
-Nguồn lực, -Dịch vụ, -Tại c|c bên
- Tại Kh|ch h{ng
quan tâm
-Tại c|c bên -Yêu cầu -Quyết định
Quan tâm
C|c Kiểm so|t &

Điểm Kiểm tra
để
Theo dõi & Đo lường
Kết quả thực hiện

ISO Digital Application System Mô hình Quá trình

Ví dụ: Các Quá trình trong Hệ thống Quản lý một Tổ chức
Safety/Security
Management
Management
Management
Management
Environment
Business
Strategy
Project
Risk
Product Delivery Process # 1

SCOPE OF
MANAGEMENT
Product Delivery Process # 2 SYSTEM
OF AN
Service Delivery Process # 3 Documen- ORGANIZATION
Resources
nications
Commu-
Training
Human
tation
Cleaning
Services
Legal Finance & Facilities Quality Software Development

Services Accounting Management Assurance and Maintenance

Thông tin
l{ dữ liệu có ý nghĩa
1. Thông tin l{ T{i sản (asset) – như t{i sản nghiệp vụ quan trọng kh|c - => là
cần thiết cho nghiệp vụ (business) của TC => cần sự bảo vệ (protection) thích
hợp.
- TT tồn tại dưới nhiều Dạng (forms): *Số (digital) (Tệp dữ liệu đc giữ trên
phương tiện điện tử/quang (electronic/optical)), *Vật chất (material) (trên c|c
vật liệu, VD: giấy), *Kiến thức (knowledge) của con người.
- TT được Truyền (transmitted) bằng c|c phương tiện: *Người chuyển ph|t
(courier), *Truyền thông điện tử/Lời nói (electronic/verbal Com.).
ISO/IEC 27000:2018
- Dù TT có ở dưới dạng n{o, hoặc được truyền, xử lý, lưu trữ bằng phương tiện
nào, => nó luôn cần được Bảo vệ thích hợp.
2. TT phụ thuộc v{o Công nghệ TT & Truyền thông (ICT).
- Công nghệ TT & TT (ICT): *L{ Phần tử cần thiết trong TC, *Giúp Tạo điều kiện
để: Tạo ra (creation), Xử lý (processing), Cất giữ (storing), Truyền (transmitting),
Bảo vệ (protection), Phá hủy (destruction) TT.
Thông tin trong một tổ chức – ví dụ
1. Thông tin về Chiến lược: các chiến lược, kế hoạch, mục tiêu
2. Thông tin về Sản phẩm và dịch vụ
3. * Sở hữu trí tuệ/Bí mật thương mại/công nghệ: bản quyền, bí quyết, công
nghệ, công thức, thiết kế, quy trình ...
4. Thông tin về Dự án/ Nghiên cứu & Phát triển

5. Tài liệu đào tạo; Phương tiện tiếp thị: poster, video, bài trình bày
6. Thông tin về Văn hóa của tổ chức
7. Thông tin vận hành: thông số vận hành sản xuất
8. Thông tin hỗ trợ ra quyết định: công cụ, thông tin tổng hợp, phân tích data
9. Thông tin nội bộ: chỉ đạo, báo cáo, lịch hoạt động,
10. * Thông tin tài chính: tài khoản, báo cáo tài chính,
11. * Thông tin về Pháp lý & Tuân thủ
12. Thông tin về Kế hoạch, Phương án dự kiến
13. * Thông tin nhân sự/tổ chức
14. * Thông tin khách hàng
15. * Thông tin tiềm lực: quân số, lực lượng, kho tàng, dự trữ, dự phòng
16. * Thông tin mật: các thông tin xác định là bí mật, tối mật, tuyệt mật
Kh|i niệm về An ninh Thông tin
Thông tin nằm ở đ}u ?

Dữ liệu Điện tử Thông tin in ra Bộ n~o Con người

Kh|i niệm về An ninh Thông tin:

Bảo to{n 3 đặc tính của thông tin:
- Bảo mật (Confidentiality)
“Đặc tính thông tin không sẵn sàng cung cấp hoặc
không được tiết lộ cho các cá nhân, thực thể hoặc

các quá trình không được phép”
- Toàn vẹn (Intergrity) Tam giác an ninh thông tin
“Đặc tính về độ chính xác và đầy đủ”
- Sẵn sàng (Availability)
“Đặc tính có thể truy cập và sử dụng được theo yêu
ISO/IEC 27000:2018
cầu của một chủ thể được phép”
An ninh thông tin

l{ bảo to{n C.I.A.

Hệ thống quản lý An to{n thông tin
An toàn thông tin không chỉ là IT!

An toàn thông tin
An toàn
công nghệ
An toàn
tổ chức An to{n vật lý-
môi trường
An toàn
con người

Khái niệm ISMS là gì?
Kh|i niệm Hệ thống quản lý An to{n Thông tin

ATTT cho Tổ chức gồm: Việc |p dụng & quản lý c|c kiểm so|t, kéo theo việc soi
xét c|c mối đe dọa, với mục đích:
*Đảm bảo thành công & liên tục cho công việc => Bền vững,
*Giảm thiểu các hậu quả của các sự cố ATTT (IS incidents).
ATTT đạt được thông qua việc:
Triển khai 1 tập hợp c|c (biện ph|p) kiểm so|t đ~ chọn thông qua qu| trình quản
lý rủi ro, v{ được quản lý, gồm c|c chính s|ch, qu| trình, quy trình, cấu trúc tổ
chức, phần mềm, phần cứng => để bảo vệ c|c t{i sản thông tin đ~ được nhận diện.
- C|c kiểm so|t n{y cần đc quy định, triển khai, theo dõi, so|t xét, cải tiến => để
đảm bảo c|c mục tiêu ATTT & Nghiệp vụ (IS and Business objectives) của tổ chức.
ISO/IEC 27000:2018
- C|c Kiểm so|t ATTT (IS Controls) cần được tích hợp với c|c Qu| trình Nghiệp
vụ/Kinh doanh (Business).

Khái niệm ISMS là gì?
Information Security Management System – ISMS

Hệ thống quản lý an to{n thông tin
• Là hệ thống để quản lý việc bảo vệ an

toàn thông tin của tổ chức
• Là hệ thống quản lý:
“thiết lập, triển khai, duy trì, vận
hành, giám sát, xem xét và cải tiến liên
tục ATTT để đạt mục tiêu công việc”
• ISMS bao gồm c|c th{nh phần:

- cơ cấu tổ chức; - các chính sách; - quy hoạch;
- tr|ch nhiệm; - quá trình; - quy trình
- thực h{nh/thông lệ, - c|c nguồn lực

Chu trình PDCA
Quản lý c|c qu| trình

C. Tiếp cận Qu| trình (Process Approach)
C2. Sử dụng Chu trình PDCA để Quản lý c|c Qu| trình:
Lập - Đặt ra c|c Mục tiêu của Hệ thống, và X}y dựng c|c
Kế hoạch Quá trình, các Nguồn lực cần thiết để đạt c|c Kết quả,
theo Yêu cầu của KH, theo Chính s|ch của Tổ chức.
- Nhận biết & Giải quyết c|c Rủi ro & Cơ hội.
Thực hiện Thực hiện những gì đ~ lập Kế hoạch
Kiểm tra - Theo dõi v{ Đo lường các Qu| trình & Kết quả (SP,
DV) so với c|c Chính s|ch, Mục tiêu, Yêu cầu & c|c
Hoạt động theo kế hoạch.
- B|o c|o c|c kết quả.
Hành động Thực hiện c|c H{nh động để Cải tiến c|c Kết quả thực
Khắc phục hiện, khi cần thiết.

C. Tiếp cận quá trình (Process Approach)
Chu trình PDCA (Deming PDCA Cycle) giúp Tổ chức:

Đảm bảo:
a) các quá trình có đủ nguồn lực & được quản lý;
b) các cơ hội cải tiến được xác định & thực hiện.
ISO 27001:2022
ISO Digital Application System Tiếp cận quá trình (Process Approach)
ISO 27001:2022
HT QL theo ISO dựa vào
Quá trình+PDCA

Kh|i niệm về
Tư duy dựa trên rủi ro
Khái niệm tư duy dựa trên rủi ro bao gồm, thực hiện hành động phòng
ngừa nhằm loại bỏ sự không phù hợp tiềm ẩn, phân tích mọi sự không phù
hợp xảy ra và thực hiện hành động thích hợp với tác động của sự không phù
hợp, nhằm ngăn ngừa sự tái diễn.
Để phù hợp với các yêu cầu của tiêu chuẩn này, tổ chức cần hoạch định và thực
hiện các hành động để giải quyết rủi ro và cơ hội. Việc giải quyết cả rủi ro và
cơ hội tạo nền tảng cho việc nâng cao hiệu lực của hệ thống quản lý chất lượng,
đạt được các kết quả cải tiến và ngăn ngừa các tác động tiêu cực.
H{nh động để giải quyết cơ hội có thể cũng bao gồm việc xem xét c|c rủi ro liên
quan. Rủi ro l{ ảnh hưởng của sự không chắc chắn v{ sự không chắc chắn bất kỳ
ISO 27001:2022
đó đều có thể có ảnh hưởng tích cực hoặc tiêu cực.
Sự chệch hướng tích cực nảy sinh từ rủi ro có thể mang lại cơ hội, nhưng không
phải tất cả c|c ảnh hưởng tích cực của rủi ro đều mang lại cơ hội.

Kh|i niệm “Tư duy theo Rủi ro” (Risk-based thinking)
dựa trên các Yêu cầu *Hoạch định, *Soát xét lại, *Cải tiến.
a) Giúp Tổ chức:
+ Nhận diện c|c yếu tố có thể t|c động đến qu| trình/HT
Quản lý Chất lượng, l{m sai lệch Kết quả.
X|c định Rủi ro - l{m Cơ sở (basis) cho Hoạch định (planning);

+ Có c|c Biện ph|p Kiểm so|t để giảm thiểu c|c T|c động tiêu cực,
l{m tăng c|c Cơ hội.
b) Thay thế “H{nh động phòng ngừa” bằng hoạch định “c|c H{nh
động giải quyết c|c Rủi ro & Cơ hội” (6.1).
c) Tạo sự minh bạch & liên kết chặt chẽ - trong c|c yêu cầu về Thiết
lập, Thực hiện, Duy trì & Cải tiến:
*Hệ thống Quản lý; *từng Quá trình; *từng Hoạt động.
ISO 27001:2022
d) Cho phép giảm c|c Yêu cầu dựa v{o “qui định” (Regulatory), thay bằng
YC dựa v{o “Kết quả Thực hiện” (Performance-based Requirements)

Định nghĩa:
• mối đe dọa (threat): nguyên

nhân tiềm ẩn có thể gây ra sự cố
không mong muốn, làm hại đến
hệ thống hoặc tổ chức.
• lỗ hổng (vulnerabilities): Là
điểm yếu của tài sản/biện pháp
kiểm soát mà có thể bị lợi dụng
bởi 1 hay nhiều mối đe dọa.
• rủi ro (risk): T|c động của sự
không chắc chắn đến mục tiêu.
*Rủi ro an to{n thông tin có liên
quan đến khả năng ph|t sinh mối
đe dọa khai thác điểm yếu của một
t{i sản thông tin hoặc một nhóm
các tài sản thông tin v{ do đó g}y
ra thiệt hại cho tổ chức.
• biện pháp kiểm soát (control):
Biện pháp làm thay đổi rủi ro.

Process + PDCA + Risk Model
Act > Plan > the process

Interaction with other Process
Interaction with other Process

Incorporate
(Extent of planning
improvements depends on RISK)
as necessary
INPUTS Do – (Carry out OUPUTS

the process)
Check > Monitor/Measure

process performance
Kh|i niệm Rủi ro v{ Kiểm so|t
Imbalance Human
is a Weakness Resource
i.e. Vulnerability is an Asset
(Lỗ hổng) (Tài sản)
Crocodiles are
the Threats Possibility of falling
(Mối/Kẻ Đe dọa) down is the RISK
ISO/IEC 27000:2018
(Rủi ro)
Rủi ro (Risk): “Tác động (effect) của sự Không Chắc chắn

(uncertainty) đến Mục tiêu (objective)”.
Kh|i niệm Rủi ro v{ Kiểm so|t
Control - Kiểm soát

ISO/IEC 27000:2018
Control
-“Measure that is Modifying Risk”
ISO/IEC 27001 yêu cầu các Tổ chức thực hiện
Quá trình Quản lý Rủi ro An toàn Thông tin (QLRR ANTT)
trong Hệ thống Quản lý ANTT (ISMS).
QUẢN LÝ RỦI RO ATTT
QLRR nhằm: *Liên tục nghiệp vụ,
*Tu}n thủ luật ph|p, quy định, hợp đồng
H{nh động Cải tiến Hiệu lực Quản lý Rủi ro
C|c mức độ AT, T{i sản TT & Gi| trị Mối
Lỗ Theo
Mục Đe
hổng Tài sản Thông tin (Information Assets) dõi,

Tiêu, dọa
Đo
Phương
Primary Quá trình, Hoạt động NV Thông tin Tài sản lường,
pháp
Assets (Business Processes, Activities) (Information) Chính Đ|nh
Quản
giá
lý
Hiệu
Rủi Tài sản
Supporting lực
ro Tổ Địa Nhân Mạng Phần Phần Hỗ trợ
Assets Các
chức điểm sự (Net- mềm cứng
work) Kiểm
Mức (Organi- (Site) (Perso- (Soft- (Hard-
rủi ro zation) nnel) ware) ware) Mất soát
(H/M/L) C, I, A Rủi
Chuẩn mực/Tiêu chí (Chấp nhận) Rủi ro
ro
Quản lý Rủi ro: Đ|nh gi| Rủi ro, Xử lý Rủi ro (Giảm thiểu, Giữ
nguyên, Né tránh, Chia sẻ => Kiểm soát Rủi ro), Chấp nhận Rủi ro

Các Quan hệ Rủi ro ATTT (Risk Relationships)
Threats Vulnerabilities
Lợi dụng
Mối Đe dọa Lỗ hổng
Làm giảm Risk đến

Kiểm soát Tài sản TT
Rủi
ro
Yêu cầu Giá trị

AN-AT
Risk = Likelihood of occurrence * possible Consequence
(Rủi ro) (Khả năng xảy ra) (Hậu quả có thể)
Qu| trình Quản lý Rủi ro (Risk Management Process)
Thông tin & Tư vấn Theo dõi & Soát xét
Phạm vi, Bối cảnh,

các Tiêu chí
Đánh giá Rủi ro

Nhận diện Rủi ro
Phân tích Rủi ro
Đánh giá-So sánh
Rủi ro
Xử lý Rủi ro
ISO 31000:2018
Ghi Hồ sơ & Báo cáo
ISO/IEC 27001 yêu cầu thực hiện Quản lý Rủi ro An toàn Thông tin trong ISMS

Bối cảnh an to{n thông tin
1. Thời đại CNTT, C|ch mạng Công nghiệp 4.0 (AI, big data, clouds
IoT);
2. Chuyển đổi số - Digital Transformation;

3. Thiết bị di động
4. L{m việc từ xa – Teleworking; LON-WFH;
5. Thông tin cá nhân - Personally identifiable information - PII;
ISO/IEC 27000:2018
6. Tấn công mạng luôn gia tăng.

Vai trò của ISMS ?
1. T{i sản thông tin rất quan trọng và tồn tại nhiều nơi,
2. Luôn đối diện nguy cơ về an to{n (ph| hoại, gi|n điệp, lừa đảo; thiếu
kiến thức, kỹ năng, ý thức; hoả hoạn, b~o lụt).
3. C|c thiệt hại do m~ độc, DoS, hacking, Ransomware... ngày càng
tăng tiến, phức tạp.

4. Việc chia sẻ thông tin khi kết nối giữa mạng chung v{ mạng riêng,
giữa tổ chức v{ c|c bên quan t}m l{m khó khăn cho kiểm so|t truy cập
v{ xử lý thông tin
5. Việc sử dụng thiết bị di động l{m giảm hiệu lực kiểm so|t
6. Không đưa ATTT v{o khi thiết kế x}y dựng c|c hệ thống sẽ khó khăn
v{ tốn kém về sau
ISO/IEC 27000:2018
“Bảo vệ tài sản thông tin thông qua việc xác định, thực hiện, duy
trì và cải tiến hiệu quả an toàn thông tin rất cần thiết, cho phép
một tổ chức đạt được mục tiêu của mình cũng như duy trì và
nâng cao tuân thủ luật pháp và hình ảnh của tổ chức.”

Tại sao ISMS quan trọng ?

Việc |p dụng th{nh công một ISMS l{ quan trọng để bảo vệ t{i sản
thông tin, cho phép một tổ chức:
a) đạt được sự đảm bảo cao hơn rằng tài sản thông tin của mình
được bảo vệ thỏa đáng trước các mối đe dọa một cách liên tục;
b) duy trì một khung công việc có cấu trúc và toàn diện để xác định
và đánh giá rủi ro an ninh thông tin, lựa chọn và áp dụng các
biện pháp kiểm soát tương ứng và đo lường cũng như cải tiến
hiệu quả của chúng;
c) liên tục cải tiến môi trường kiểm soát của họ; và
ISO/IEC 27000:2018
d) hiệu quả trong đáp ứng yêu cầu về tuân thủ pháp luật và quy
định.

Tóm tắt phần [2]
• Một số định nghĩa-thuật ngữ

• C|c kh|i niệm:
1. Hệ thống quản lý an toàn thông tin

2. Tiếp cận theo quá trình
3. Chu trình PDCA
4. Tư duy dựa trên rủi ro
5. Quản lý rủi ro
• Tầm quan trọng của ISMS
ISO 9001:2015

[4] C|c bước triển khai ISO/IEC 27001
[5] Các lưu ý khi triển khai ISO/IEC 27001

I. Tiêu chuẩn ISO c|c Hệ thống Quản lý
Tiêu chuẩn ISO về c|c

Hệ thống Quản lý qui định: + Rủi ro & Cơ hội
“Không phải làm ra cái gì, + L~nh đạo cao nhất
mà là
Làm thế nào để

Định hướng qu| trình, Cải
quản lý quá trình!” tiến liên tục
ISO/IEC 27001:2022
ISO 9001:2015
2000/
H{nh động khắc phục &
2008
phòng ngừa
ISO 9001:2000; 2008
ISO/IEC 27001:2005;
Thế hệ 2
1994
Định hướng ISO 9001:1994

Quy trình Thế hệ 1
1987
ISO 9001:1987

Họ Tiêu chuẩn ISMS - ISO 27000
27000
Chuẩn Từ vựng Tổng quan-Từ vựng
27001 27006
Chuẩn Yêu cầu Chứng nhận

C|c yêu cầu Đ|nh gi| - Chứng nhận
Chuẩn Hướng 27002 27003 27004

dẫn Quy tắc thực h{nh Áp dụng Đo lường
27005 27007 27008
Quản lý rủi ro HD Audit ISMS Đ|nh gi| Kiểm so|t
27013 27014 27016

Tích hợp thực hiện Quản trị IS Kinh tế tổ chức
Chuẩn HD theo
27010 27011 27017 27019
ngành Inter-sector com 27002 telecom 27002 cloud svc Energy utilities
T{i liệu hỗ trợ TS – Technical Specification TR-Technical

2703x 2704xReport

ISO Digital Application System Lộ trình ISO/IEC 27001
TIÊU CHUẨN ISO/IEC 27001:2022

( Tháng 10/2022 ban hành)

ISO Digital Application System ISO/IEC 27001:2022

ISO Digital Application System ISO/IEC 27001:2022

CÁC ĐIỀU KHOẢN ISO/IEC 27001:2022
1. Phạm vi;
2. Tham chiếu; 3. Thuật ngữ & Định nghĩa
4. Bối cảnh của Tổ chức (Context of Organization)
(Vấn đề Ngo{i/Nội bộ; Yêu cầu các Bên quan tâm; Phạm vi ISMS; Hệ thống ISMS)
Application System
(Theo dõi, Đo lường, Phân tích, Đ|nh giá;

5. Sự Lãnh đạo (Leadership)
Trao đổi Thông tin, Thông tin Văn bản)
(Các Nguồn lực, Năng lực, Nhận thức,
9. Đ|nh giá Kết quả Thực hiện
Audit nội bộ; Xem xét của Lãnh đạo)

(L.đạo, Cam kết; Ch.s|ch; Vai trò, Tr.nhiệm, Quyền hạn)
(Performance Evaluation)
7. Hỗ trợ (Support)
6. Hoạch định (Planning) (Giải quyết Rủi ro, Cơ

hội; Mục tiêu & Hoạch định; Hoạch định Thay đổi)
8. Vận hành (Operation)

(Hoạch định & Kiểm so|t Vận h{nh;
ISO Digital
Đ|nh gi| Rủi ro ATTT; Xử lý Rủi ro ATTT)
10. Cải tiến (Improvement)

(Sự không phù hợp & Hành động Khắc phục;
Cải tiến Liên tục)

CÁC ĐIỀU KHOẢN ISO/IEC 27001:2022
4. Bối cảnh 5. Sự lãnh 6. Hoạch 9. Đ|nh giá

của Tổ chức đạo định 7. Hỗ trợ 8. Vận hành kết quả 10. Cải tiến
8.1. Lập kế 9.1. Giám sát,

4.1. Hiểu về tổ 5.1. Cam kết 6.1. Hành động 7.1. Nguồn lực 10.1. Cải tiến
hoạch vận đo lường,
chức bối cảnh của lãnh đạo xử lý rủi ro và liên tục
hành và kiểm phân tích và
cơ hội soát đ|nh gi|
4.2. Hiểu về 5.2 Chính sách 7.2. Năng lực

nhu cầu và kỳ 10.2 Sự KPH
ATTT 6.2. Mục tiêu và 8.2. Đ|nh giá và hành động
vọng của các 9.2. Đ|nh giá
kế hoạch về rủi ro ATTT khắc phục
bên liên quan nội bộ
ATTT
7.3. Nhận thức
5.3. Vai trò,
quyền hạn và
4.3. Xác định 8.3. Xử lý rủi
trách nhiệm 9.3. Xem xét
phạm vi của 6.3. Hoạch định ro ATTT
của tổ chức 7.4. Trao đổi của lãnh đạo
ISMS thay đổi
thông tin
7.5. Kiểm so|t

4.4. ISMS thông tin tài
liệu

CÁC KIỂM SOÁT ISO/IEC 27001:2022
Tổng số Kiểm soát – 93, 11 mới (2022 so với 2013)

Phân loại kiểm soát:
1. Con người (people), nếu kiểm soát liên quan đến con người;
2. Vật lý (physical), nếu kiểm soát liên quan đến các đối tượng vật
lý;
3. Công nghệ (technological), nếu kiểm soát liên quan đến công
nghệ;
4. còn lại được phân loại là Tổ chức (organizational).
Năm đặc tính kiểm soát (#):

1. Control type (Preventive, Detective, Corrective)
2. Information security properties (CIA)
3. Cybersecurity concepts (Identify, Protect, Detect, Respond and
Recover)
4. Operational capabilities
5. Security domains

ISO Digital Application System CÁC KIỂM SOÁT ISO/IEC 27001:2022

Lợi ích của |p dụng tiêu chuẩn ISO 27001
1.Bảo vệ thông tin

2.Quản lý an ninh thông tin
3.Tuân thủ quy định pháp luật
4.Xây dựng niềm tin và tăng cường uy tín
Tóm lại, tiêu chuẩn ISO/IEC 27001:2022 đóng vai

trò quan trọng trong việc bảo vệ thông tin và quản lý
an ninh thông tin, đảm bảo tính bảo mật, sẵn sàng
và toàn vẹn của thông tin trong tổ chức.


[2] Các Khái niệm căn bản về ISMS
[3] Nội dung tiêu chuẩn ISO/IEC 27001
[4] C|c bước triển khai ISO/IEC 27001
[5] Các lưu ý khi triển khai ISO/IEC 27001:2022.

Triển khai ISO 27001 như 1 Dự |n
Thiết lập, Vận h{nh, Theo dõi, Soát xét, Duy trì, Cải tiến
ISMS
Các bên Plan Thiết lập

Các bên
Quan tâm ISMS Quan tâm
Act
Duy trì &
Vận h{nh Cải tiến
Các ISMS
Yêu cầu ISMS
An toàn
và Do Thông tin
Mong đợi
về Theo dõi được
& Soát xét Check Quản lý
ISMS
ISMS

CÁC BƯỚC TRIỂN KHAI ISO/IEC 27001
I. CHUẨN BỊ
1. X|c định Phạm vi ISMS;
2. Th{nh lập Ban ISO ISMS;
3. Đ{o tạo Nhận thức HT QL ATTT theo ISO;
4. Đ|nh gi| Thực trạng HT QL;

5. Lập Kế hoạch Triển khai HT QL ATTT theo ISO;
Hệ thống
II. XÂY DỰNG HỆ THỐNG ISMS Quản lý
6. X|c định Bối cảnh, c|c Rủi ro v{ Cơ hội về CL/ATTT; ATTT
7. X|c định c|c Qu| trình của QMS (Yêu cầu SP/DV; Thiết kế phù hợp
Ph|t triển SP/DV; Kiểm so|t SP/DV bên ngo{i; Sản xuất, ISO/IEC
Cung cấp DV; Thông qua SP/DV; Kiểm so|t Đầu ra Không 27001:2022
Phù hợp,…)/ISMS (*Đ|nh gi| Rủi ro, *Xử lý Rủi ro,…);
8. Hoạch định H{nh động Kiểm so|t ATTT;
9. Thiết lập c|c Mục tiêu ATTT;
10. X}y dựng, Ban h{nh Văn bản, theo Yêu cầu của *ISO
9001/27001; của *Tổ chức (Ch.s|ch, Mục tiêu, Qui định,
Qui trình, Biểu mẫu, SoA (Tuyên bố Áp dụng),…);

CÁC BƯỚC TRIỂN KHAI ISO/IEC 27001
III. ÁP DỤNG HỆ THỐNG ISMS

11. Phổ biến, Triển khai Vận h{nh HTQL ATTT và các
Văn bản đ~ Ban h{nh;
12. Thực hiện c|c Qu| trình của ISMS;
13. Theo dõi, Đo lường, So|t xét, Cải tiến HT QL;

14. Thực hiện |p dụng C|ch thức Xử lý Rủi ro;
Hệ thống Quản lý
15. Ghi, Lưu giữ Hồ sơ về Thực hiện, Kiểm so|t; ATTT
phù hợp Tiêu
IV. THEO DÕI ĐÁNH GIÁ HỆ THỐNG ISMS chuẩn
ISO/IEC
16. Đào tạo Đánh giá viên Nội bộ;
27001:2022
17. Đánh giá Nội bộ về HT QL (Internal Audit);
18. Soát xét của Lãnh đạo (Management Review);
19. Khắc phục điểm Không Phù hợp (KPH);
20. Ban hành Chứng chỉ Đánh giá viên Nội bộ;
21. Đánh giá Nội bộ/Soát xét/Khắc phục – lần 2

CÁC BƯỚC TRIỂN KHAI ISO 27001
V. CHỨNG NHẬN HỆ THỐNG ISMS

Hệ thống Quản lý
22. Đ|nh gi| Chứng nhận Lần đầu
ATTT
(Initial Certification Audit):
Đ|nh gi| Giai đoạn 1 + ĐG Giai đoạn 2; phù hợp Tiêu chuẩn
ISO/IEC
23. Soát xét của L~nh đạo;
27001:2022
24. Khắc phục điểm Không phù hợp;
25. Nộp Hồ sơ, Nhận Chứng chỉ;
VI. SAU CHỨNG NHẬN ISO 27001

26. Đánh giá Giám sát (Surveillance Audit); is focused Not ony on IT!
27. Đánh giá Chứng nhận lại (Re-Certification) - IT is important, IT alone can
Not protect information.
- Physical security, Legal
Tiếp tục Duy trì, Cải tiến ISMS protection, Human resources
management, Organizational
issues – all of them together are
required to Secure the
information.

TRIỂN KHAI ISO/IEC 27001, 9001,…
Thời gian: 5 - 8 tháng

phụ thuộc v{o:
• Cam kết & Hành động của Lãnh đạo của Tổ chức (TC);
• Mức độ Phức tạp, Nguồn lực (Con người, Thời gian, Tiền, …);
• Năng lực, sự Tham gia của Cán bộ, Người chủ chốt của TC.


[4] C|c bước triển khai ISO/IEC 27001:2022
[5] Các lưu ý khi triển khai ISO/IEC 27001:2022

LỢI ÍCH KHI ÁP DỤNG ISO 27001, 9001
1. Tạo được Khung “Pháp lý” cho c|c hoạt động của Tổ chức
một c|ch có Hệ thống;
2. Chất lượng Công việc trở nên Tốt hơn;
3. Cán bộ Quản lý không mất nhiều thời gian giải quyết c|c
công việc sự vụ;
4. Nâng cao Uy tín của Tổ chức;
5. Đ{o tạo nh}n viên mới Nhanh hơn;
6. L{ cơ sở cho các Hoạt động Cải tiến;
7. Khách hàng Tin tưởng hơn trong việc quan hệ v{ cung
cấp các Sản phẩm/Dịch vụ của Tổ chức;
8. Góm phần Giảm Chi phí, Tăng Hiệu quả Nghiệp vụ/KD;
9. Bảo vệ c|c T{i sản Thông tin;
10. Tăng cường Liên tục Nghiệp vụ/Kinh doanh (business).

TRIỂN KHAI ISO 27001, 9001,…
Một số Khó khăn điển hình của TC:

• Đào tạo về Hệ thống Quản lý ISO – Không đủ cho mọi NV;
• Cách thức làm việc – Cũ;
• Tâm lý của CB, NV – Ngại thay đổi;
• Phối hợp giữa các Bộ phận – Kém;

• Xây dựng Tài liệu Quy định/Quy trình – Phức tạp, Không phù hợp;
• Đưa ra các Hành động Khắc phục – Không phù hợp;
Lưu ý: . ISO 27001 là Tiêu chuẩn ISO Hàng đầu về Quản lý ATTT;
• ISO 27001 Ko phải Quy định, mà là Phương pháp, Khuôn khổ - cho
mọi tổ chức;
• Quản lý Rủi ro => là Tư tưởng Trung tâm của ISO 27001;
• Chỉ CNTT => là Không đủ, mà cần cả Hoạt động Nghiệp vụ;

E. CHỨNG NHẬN, CHỨNG CHỈ HT QL ISO
1. Tổ chức xin Chứng chỉ sẽ được Đ|nh gi| trên cơ sở một

số Mẫu chính (extensive sample), về c|c:
a) Địa điểm (sites), b) Chức năng (functions),
b) Sản phẩm/Dịch vụ, e) Quá trình (processes).

2. Cơ quan Chứng nhận (CB) thực hiện:
a) Kiểm tra c|c Hệ thống, Qu| trình, T{i liệu tại HQ của TC;
b) Đ|nh gi| Tại chỗ (on-site audits).
3. Chứng chỉ ISO cho c|c Hệ thống Quản lý (HT QL):
a) CB thực hiện ĐG Lần đầu (Initial Audit (Pre, Main audit))
v{ ĐG Giám sát (Surveillance) định kỳ 6-12 tháng;
b) Chứng nhận có gi| trị 3 năm, sau đó l{ Qu| trình Chứng
nhận lại Đầy đủ (a full re-certification)./.

THỰC HIỆN HỆ THỐNG QUẢN LÝ
AN TOÀN THÔNG TIN
LÀ VIỆC LÀM CỦA TẤT CẢ MỌI NGƯỜI !
Xin Các
Cám câu
ơn ! hỏi ?

1.DaoTaoNhanThuc-HeThongQuanLy-27001 2022 VNPOST 240227

Uploaded by

Document Information

Original Title

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

1.DaoTaoNhanThuc-HeThongQuanLy-27001 2022 VNPOST 240227

Uploaded by

Copyright:

Available Formats

ĐÀO TẠO NHẬN THỨC

HỆ THỐNG QUẢN LÝ AN TOÀN THÔNG TIN

Hà Nội, ngày 27 tháng 02 năm 2024

Người trình bày: Nguyễn Trần Dũng -LA

Website: www.idasonline.com; www.idas.vn

ISO Consultancy www.idasonline.com Page 2

ISO Consultancy www.idasonline.com Page 3

[1] Khái niệm ISO là gì?

[2] Hệ thống quản lý an to{n thông tin

[3] Nội dung tiêu chuẩn ISO/IEC 27001:2022

[4] C|c bước triển khai ISO/IEC 27001:2022

[5] Các lưu ý khi triển khai ISO/IEC 27001:2022

ISO Consultancy www.idasonline.com Page 4

ISO – Tổ chức Quốc tế về Tiêu chuẩn hóa

⦿ ISO là một tổ chức quốc tế độc lập, phi chính phủ;

ISO Consultancy www.idasonline.com Page 6

⦿ ISO là một tổ chức quốc tế độc lập, phi chính phủ;

ISO Consultancy www.idasonline.com Page 7

⦿ ISO/IEC 27000 - QL An toàn thông tin

ISO Consultancy www.idasonline.com Page 8

ISO Consultancy www.idasonline.com Page 9

Cơ quan Công nhận

ISO Consultancy www.idasonline.com Page 10

Số Chứng chỉ ISO To{n cầu

Tổng số: ~1,950,000/16 chuẩn

- ISO 9001 = 1,077,884 (Quality MS);

ISO Consultancy www.idasonline.com Page 11

ISO Consultancy www.idasonline.com Page 12

Đối với ng{nh kinh tế (Manufacture/Service/Business):

• X}m nhập v{o c|c thị trường mới dễ d{ng.

ISO Consultancy www.idasonline.com Page 13

[1] ISO là gì?

[2] Hệ thống quản lý An to{n thông tin

[3] Nội dung tiêu chuẩn ISO 9001/27001

[4] Các bước triển khai ISO 9001/27001

[5] Các lưu ý khi triển khai ISO.

ISO Consultancy www.idasonline.com Page 14

Một số khái niệm căn bản về hệ

Management System – ISMS)

ISO Consultancy www.idasonline.com Page 15

ISO Consultancy www.idasonline.com Page 16

tổ chức, trong một cấu trúc thích hợp.

ISO Consultancy www.idasonline.com Page 17

ISO Consultancy www.idasonline.com Page 18

Các yếu tố của một quá trình (Elements of a single process)

Điểm đầu Điểm cuối

C|c nguồn Các Các Các Người nhận

Đầu v{o Đầu v{o Hoạt động Đầu ra Đầu ra

CÁC QUÁ TRÌNH CÁC QUÁ TRÌNH

C|c Kiểm so|t &

ISO Consultancy www.idasonline.com Page 19

ISO Consultancy www.idasonline.com Page 20

Product Delivery Process # 1

Legal Finance & Facilities Quality Software Development

ISO Consultancy www.idasonline.com Page 21

4. Thông tin về Dự án/ Nghiên cứu & Phát triển

Kh|i niệm về An ninh Thông tin

Thông tin nằm ở đ}u ?

Dữ liệu Điện tử Thông tin in ra Bộ n~o Con người

ISO Consultancy www.idasonline.com Page 24

Kh|i niệm về An ninh Thông tin:

không được tiết lộ cho các cá nhân, thực thể hoặc

An ninh thông tin