Professional Documents
Culture Documents
1.DaoTaoNhanThuc-HeThongQuanLy-27001 2022 VNPOST 240227
1.DaoTaoNhanThuc-HeThongQuanLy-27001 2022 VNPOST 240227
tại VNPOST
Trụ sở: Tầng 6, Khu Văn phòng, Tòa nhà JSC 34,
Số 164, Khuất Duy Tiến, Thanh Xuân, Hà Nội
Tel: 024.22250710 - Fax: 024.22250711
ĐỐI TƯỢNG:
L~nh đạo
C|n bộ quản lý
Nh}n sự liên quan
International Organization
for Standardization
www.iso.org
“ISO” – tiếng Hy Lạp l{ “isos” = equal = bằng nhau
ISO Consultancy www.idasonline.com Page 5
Tổ chức ISO
⦿
⦿ Thành viên là các cơ quan tiêu chuẩn quốc gia.
⦿ ISO tập hợp các chuyên gia để chia sẻ kiến thức và xây dựng các
Tiêu chuẩn quốc tế phù hợp với thị trường, dựa trên sự tự
nguyện và sự đồng thuận nhằm hỗ trợ đổi mới và cung cấp giải
pháp cho các thách thức toàn cầu.
⦿
⦿ Thành viên là các cơ quan tiêu chuẩn quốc gia.
⦿ ISO tập hợp các chuyên gia để chia sẻ kiến thức và xây dựng các
Tiêu chuẩn quốc tế phù hợp với thị trường, dựa trên sự tự
nguyện và sự đồng thuận nhằm hỗ trợ đổi mới và cung cấp giải
pháp cho các thách thức toàn cầu.
ISO l{m ra tiêu chuẩn nhưng không chứng nhận đạt tiêu chuẩn
C|c t{i liệu ISO l{ có bản quyền v{ tính phí
ISO Digital Application System
ISO 17021:2011
bodies (AB) JASANZ (Australia-New Zealand)
RVA (Holand), BOA (Vietnam),…
Công nhận
Certification
bodies (CB) Tổ chức Chứng nhận (TCCN) ISO 17021:2011
= Registrars D.A.S, QUACERT, VRQC,…
Chứng nhận
ISO 9001:2015,
Organizations ISO/IEC 27001:2022,
Tổ chức/Công ty …
• chính sách (policy): Mục đích và định hướng của một tổ chức được thể
hiện chính thức bởi ban quản lý cấp cao
• mục tiêu (objective): Kết quả cần đạt được
• quá trình (process): tập hợp c|c hoạt động có liên quan hoặc tương t|c lẫn
nhau nhằm biến c|c đầu v{o th{nh c|c đầu ra.
• quy trình (procedure): c|ch thức cụ thể để tiến h{nh một hoạt động hay
quá trình.
• Hệ thống: Tập hợp c|c yếu tố có liên quan hay tương t|c lẫn nhau .
ISO 9000:2015
• Hệ thống quản lý: Hệ thống để thiết lập c|c chính s|ch v{ mục tiêu v{ qu|
trình để đạt được c|c mục tiêu đó.
Management?
Quản lý: là các hoạt động có phối hợp để định hướng và kiểm soát
ISO 9000:2015
tổ chức
ISO Digital Application System
CHÚ THÍCH 1: Quản lý có thể bao gồm việc thiết lập chính sách (policy) mục
tiêu (objective) và các quá trình (process) để đạt được những mục tiêu n{y.
CHÚ THÍCH 2: Thuật ngữ n{y đôi khi đề cập đến người quản lý, nghĩa l{
người hoặc nhóm người có quyền hạn v{ tr|ch nhiệm đối với việc điều h{nh
v{ kiểm so|t một tổ chức.
Quản lý: các hoạt động để định hướng, kiểm soát, cải tiến liên tục
ISO/IEC 27000:2018
hoặc tương t|c (interacting) lẫn nhau, sử dụng c|c đầu v{o để tạo ra
(deliver) kết quả dự kiến.”
- C|ch tiếp cận theo qu| trình: “Hiểu, thiết lập, quản lý một c|ch hệ
thống c|c qu| trình v{ sự tương t|c giữa chúng, để đạt được c|c kết quả
dự kiến”.
Process A Process B
ISO 27001:2022
Process C Process D
Safety/Security
Management
Management
Management
Management
Environment
Business
Strategy
Project
Risk
ISO Digital Application System
nications
Commu-
Training
Human
tation
Cleaning
Services
Thông tin
l{ dữ liệu có ý nghĩa
1. Thông tin l{ T{i sản (asset) – như t{i sản nghiệp vụ quan trọng kh|c - => là
ISO Digital Application System
cần thiết cho nghiệp vụ (business) của TC => cần sự bảo vệ (protection) thích
hợp.
- TT tồn tại dưới nhiều Dạng (forms): *Số (digital) (Tệp dữ liệu đc giữ trên
phương tiện điện tử/quang (electronic/optical)), *Vật chất (material) (trên c|c
vật liệu, VD: giấy), *Kiến thức (knowledge) của con người.
- TT được Truyền (transmitted) bằng c|c phương tiện: *Người chuyển ph|t
(courier), *Truyền thông điện tử/Lời nói (electronic/verbal Com.).
ISO/IEC 27000:2018
- Dù TT có ở dưới dạng n{o, hoặc được truyền, xử lý, lưu trữ bằng phương tiện
nào, => nó luôn cần được Bảo vệ thích hợp.
2. TT phụ thuộc v{o Công nghệ TT & Truyền thông (ICT).
- Công nghệ TT & TT (ICT): *L{ Phần tử cần thiết trong TC, *Giúp Tạo điều kiện
để: Tạo ra (creation), Xử lý (processing), Cất giữ (storing), Truyền (transmitting),
Bảo vệ (protection), Phá hủy (destruction) TT.
ISO Consultancy www.idasonline.com Page 22
C|c kh|i niệm căn bản
Thông tin trong một tổ chức – ví dụ
1. Thông tin về Chiến lược: các chiến lược, kế hoạch, mục tiêu
2. Thông tin về Sản phẩm và dịch vụ
3. * Sở hữu trí tuệ/Bí mật thương mại/công nghệ: bản quyền, bí quyết, công
nghệ, công thức, thiết kế, quy trình ...
ISO Digital Application System
ISO/IEC 27000:2018
cầu của một chủ thể được phép”
An toàn
công nghệ
An toàn
tổ chức An to{n vật lý-
môi trường
An toàn
con người
*Giảm thiểu các hậu quả của các sự cố ATTT (IS incidents).
ATTT đạt được thông qua việc:
Triển khai 1 tập hợp c|c (biện ph|p) kiểm so|t đ~ chọn thông qua qu| trình quản
lý rủi ro, v{ được quản lý, gồm c|c chính s|ch, qu| trình, quy trình, cấu trúc tổ
chức, phần mềm, phần cứng => để bảo vệ c|c t{i sản thông tin đ~ được nhận diện.
- C|c kiểm so|t n{y cần đc quy định, triển khai, theo dõi, so|t xét, cải tiến => để
đảm bảo c|c mục tiêu ATTT & Nghiệp vụ (IS and Business objectives) của tổ chức.
ISO/IEC 27000:2018
- C|c Kiểm so|t ATTT (IS Controls) cần được tích hợp với c|c Qu| trình Nghiệp
vụ/Kinh doanh (Business).
Lập - Đặt ra c|c Mục tiêu của Hệ thống, và X}y dựng c|c
Kế hoạch Quá trình, các Nguồn lực cần thiết để đạt c|c Kết quả,
ISO Digital Application System
theo Yêu cầu của KH, theo Chính s|ch của Tổ chức.
- Nhận biết & Giải quyết c|c Rủi ro & Cơ hội.
Kiểm tra - Theo dõi v{ Đo lường các Qu| trình & Kết quả (SP,
DV) so với c|c Chính s|ch, Mục tiêu, Yêu cầu & c|c
Hoạt động theo kế hoạch.
- B|o c|o c|c kết quả.
Hành động Thực hiện c|c H{nh động để Cải tiến c|c Kết quả thực
Khắc phục hiện, khi cần thiết.
b) các cơ hội cải tiến được xác định & thực hiện.
ISO 27001:2022
ISO Consultancy www.idasonline.com Page 31
ISO Digital Application System Tiếp cận quá trình (Process Approach)
ISO 27001:2022
HT QL theo ISO dựa vào
Quá trình+PDCA
Kh|i niệm về
Tư duy dựa trên rủi ro
ISO Digital Application System
Khái niệm tư duy dựa trên rủi ro bao gồm, thực hiện hành động phòng
ngừa nhằm loại bỏ sự không phù hợp tiềm ẩn, phân tích mọi sự không phù
hợp xảy ra và thực hiện hành động thích hợp với tác động của sự không phù
hợp, nhằm ngăn ngừa sự tái diễn.
Để phù hợp với các yêu cầu của tiêu chuẩn này, tổ chức cần hoạch định và thực
hiện các hành động để giải quyết rủi ro và cơ hội. Việc giải quyết cả rủi ro và
cơ hội tạo nền tảng cho việc nâng cao hiệu lực của hệ thống quản lý chất lượng,
đạt được các kết quả cải tiến và ngăn ngừa các tác động tiêu cực.
H{nh động để giải quyết cơ hội có thể cũng bao gồm việc xem xét c|c rủi ro liên
quan. Rủi ro l{ ảnh hưởng của sự không chắc chắn v{ sự không chắc chắn bất kỳ
ISO 27001:2022
đó đều có thể có ảnh hưởng tích cực hoặc tiêu cực.
Sự chệch hướng tích cực nảy sinh từ rủi ro có thể mang lại cơ hội, nhưng không
phải tất cả c|c ảnh hưởng tích cực của rủi ro đều mang lại cơ hội.
ISO 27001:2022
d) Cho phép giảm c|c Yêu cầu dựa v{o “qui định” (Regulatory), thay bằng
YC dựa v{o “Kết quả Thực hiện” (Performance-based Requirements)
• lỗ hổng (vulnerabilities): Là
điểm yếu của tài sản/biện pháp
kiểm soát mà có thể bị lợi dụng
bởi 1 hay nhiều mối đe dọa.
• rủi ro (risk): T|c động của sự
không chắc chắn đến mục tiêu.
*Rủi ro an to{n thông tin có liên
quan đến khả năng ph|t sinh mối
đe dọa khai thác điểm yếu của một
t{i sản thông tin hoặc một nhóm
các tài sản thông tin v{ do đó g}y
ra thiệt hại cho tổ chức.
• biện pháp kiểm soát (control):
Biện pháp làm thay đổi rủi ro.
(Extent of planning
improvements depends on RISK)
as necessary
Crocodiles are
the Threats Possibility of falling
(Mối/Kẻ Đe dọa) down is the RISK
ISO/IEC 27000:2018
(Rủi ro)
Control
-“Measure that is Modifying Risk”
ISO/IEC 27001 yêu cầu các Tổ chức thực hiện
Quá trình Quản lý Rủi ro An toàn Thông tin (QLRR ANTT)
trong Hệ thống Quản lý ANTT (ISMS).
QUẢN LÝ RỦI RO ATTT
QLRR nhằm: *Liên tục nghiệp vụ,
*Tu}n thủ luật ph|p, quy định, hợp đồng
H{nh động Cải tiến Hiệu lực Quản lý Rủi ro
C|c mức độ AT, T{i sản TT & Gi| trị Mối
Lỗ Theo
Mục Đe
ISO Digital Application System
Xử lý Rủi ro
ISO 31000:2018
Ghi Hồ sơ & Báo cáo
ISO/IEC 27001 yêu cầu thực hiện Quản lý Rủi ro An toàn Thông tin trong ISMS
1. Thời đại CNTT, C|ch mạng Công nghiệp 4.0 (AI, big data, clouds
IoT);
ISO Digital Application System
ISO/IEC 27000:2018
6. Tấn công mạng luôn gia tăng.
ISO/IEC 27000:2018
“Bảo vệ tài sản thông tin thông qua việc xác định, thực hiện, duy
trì và cải tiến hiệu quả an toàn thông tin rất cần thiết, cho phép
một tổ chức đạt được mục tiêu của mình cũng như duy trì và
nâng cao tuân thủ luật pháp và hình ảnh của tổ chức.”
a) đạt được sự đảm bảo cao hơn rằng tài sản thông tin của mình
được bảo vệ thỏa đáng trước các mối đe dọa một cách liên tục;
b) duy trì một khung công việc có cấu trúc và toàn diện để xác định
và đánh giá rủi ro an ninh thông tin, lựa chọn và áp dụng các
biện pháp kiểm soát tương ứng và đo lường cũng như cải tiến
hiệu quả của chúng;
c) liên tục cải tiến môi trường kiểm soát của họ; và
ISO/IEC 27000:2018
d) hiệu quả trong đáp ứng yêu cầu về tuân thủ pháp luật và quy
định.
ISO 9001:2015
ISO Consultancy www.idasonline.com Page 45
NỘI DUNG TRÌNH BÀY
mà là
ISO Digital Application System
2000/
H{nh động khắc phục &
2008
phòng ngừa
ISO 9001:2000; 2008
ISO/IEC 27001:2005;
Thế hệ 2
1994
27000
Chuẩn Từ vựng Tổng quan-Từ vựng
27001 27006
ISO Digital Application System
Chuẩn HD theo
27010 27011 27017 27019
ngành Inter-sector com 27002 telecom 27002 cloud svc Energy utilities
(Performance Evaluation)
7. Hỗ trợ (Support)
lý;
3. Công nghệ (technological), nếu kiểm soát liên quan đến công
nghệ;
4. còn lại được phân loại là Tổ chức (organizational).
Thiết lập, Vận h{nh, Theo dõi, Soát xét, Duy trì, Cải tiến
ISMS
Các bên
Quan tâm ISMS Quan tâm
Act
Duy trì &
Vận h{nh Cải tiến
Các ISMS
Yêu cầu ISMS
An toàn
và Do Thông tin
Mong đợi
về Theo dõi được
& Soát xét Check Quản lý
ISMS
ISMS
I. CHUẨN BỊ
1. X|c định Phạm vi ISMS;
2. Th{nh lập Ban ISO ISMS;
3. Đ{o tạo Nhận thức HT QL ATTT theo ISO;
ISO Digital Application System
ISO/IEC
23. Soát xét của L~nh đạo;
27001:2022
24. Khắc phục điểm Không phù hợp;
25. Nộp Hồ sơ, Nhận Chứng chỉ;
• Cam kết & Hành động của Lãnh đạo của Tổ chức (TC);
• Mức độ Phức tạp, Nguồn lực (Con người, Thời gian, Tiền, …);
• Năng lực, sự Tham gia của Cán bộ, Người chủ chốt của TC.
1. Tạo được Khung “Pháp lý” cho c|c hoạt động của Tổ chức
một c|ch có Hệ thống;
2. Chất lượng Công việc trở nên Tốt hơn;
ISO Digital Application System
3. Cán bộ Quản lý không mất nhiều thời gian giải quyết c|c
công việc sự vụ;
4. Nâng cao Uy tín của Tổ chức;
5. Đ{o tạo nh}n viên mới Nhanh hơn;
6. L{ cơ sở cho các Hoạt động Cải tiến;
7. Khách hàng Tin tưởng hơn trong việc quan hệ v{ cung
cấp các Sản phẩm/Dịch vụ của Tổ chức;
8. Góm phần Giảm Chi phí, Tăng Hiệu quả Nghiệp vụ/KD;
9. Bảo vệ c|c T{i sản Thông tin;
10. Tăng cường Liên tục Nghiệp vụ/Kinh doanh (business).
Xin Các
Cám câu
ơn ! hỏi ?