Professional Documents
Culture Documents
Tuần 3- Khái Quát ISO 27001-2013
Tuần 3- Khái Quát ISO 27001-2013
Mục Lục
• Định nghĩa ISMS (Hệ thống quản lý hệ thống thông tin)
• Hiểu được mục tiêu và nội dung của ISO/IEC 27001:2013
• Phương pháp tài liệu hóa hệ thống thông tin dựa trên
ISO/IEC 27001:2013
Mục tiêu của ATTT
• ISO 27001 là tiêu chuẩn được phát triển với mục tiêu tạo ra bộ
khung quản lý hệ thống thông tin cho doanh nghiệp. Đây là một tiêu
chuẩn trung lập được quốc tế chấp nhận.
Phạm vi của ISO 27001
• Phạm vi của ISO 27001 có thể không chỉ tập trung
vào hệ thống it mà còn:
– Kiểm soát thay đổi trong tài chính
– Kiểm soát thông tin cá nhân của các đối tượng liên
quan
– Bảo đảm an toàn thông tin cho hệ thống
– Kiểm soát nhân sự có khả năng truy cập vào hệ thống
thiết yếu
– Nâng cao nhận thức về ATTT
ISO/IEC
27001:2013
1.Phạm vi
2.Tài liệu viện dẫn
3.Thuật ngữ và định nghĩa
4.Bối cảnh của tổ chức
• Hiểu tổ chức và bối cảnh của tổ chức
• Hiểu được nhu cầu và mong đợi của các
bên liên quan
• Phạm vi của hệ thống quản lý
ATTT
• Cam kết thiết lập tài liệu hệ thống
quản lý ATTT
5. Sự lãnh đạo
• Sự lãnh đạo và cam kết
• Chính sách ATTT
• Vai trò và trách nhiệm
6. Hoạch định
• Xác định rủi ro và cơ hội
• Đặt ra các mục tiêu
ISO/IEC
27001:2013
7.Hỗ trợ
• Cam kết nguồn lực
• Kiểm soát trình độ nhân sự
• Nhận thức
• Trao đổi thông tin
• Tài liệu hóa
8.Vận hành
• Lên kế hoạch và kiểm soát
• Đánh giá rủi ro
• Xử lý rủi ro
9. Đánh giá hiệu năng
• Giám sát, đo lường, phân tích, và đánh giá
• Đánh giá nội bộ
• Đánh giá từ lãnh đạo
10. Cải tiến
• Khi có điểm không phù hợp
• Cải tiến liên tục
Quá trình đánh giá hệ thống để lập tài liệu
Lên kế hoạch đánh giá
• Xác định mục tiêu
Những vấn đề nào có thể được xử lý sau khi đánh giá
• Ai sẽ tham gia
Bộ phận nào sẽ phải tham gia đánh giá?
• Ai sẽ thực thi
• Kế hoạch kiểm định nội bộ
• Chỉ đạo từ cấp trên
Lên kế hoạch đánh giá
Xác định mục đích chính
• Xác định đối tượng quan tâm đến tài liệu đánh giá
• Những dữ liệu cần bảo mật
– VD: Thông tin hệ thống, thông tin khách hàng,…
• Những ảnh hưởng khi dữ liệu bị lộ
– VD: Ảnh hưởng vận hành, ảnh hưởng danh tiếng,…
Lên kế hoạch đánh giá
• Xác định phạm vi rõ ràng
– Các bên thứ ba có nằm trong tầm kiểm soát không?
– Các bên thứ ba có phải làm theo các biện pháp kiểm soát?
Ví dụ về đặt mục đích ATTT doanh
nghiệp
• Công ty bất động sản
– ATTT của công ty A cần đảm bảo được sự bảo
mật các thông tin về giá cả thị trường cùa từng
mảnh đất, hiện trạng tài chính của chủ sở hữu, và
các thông tin cá nhân liên quan dù trên mạng hay
trên tài liệu vật lý , hoặc thông qua trao đổi thông
tin.
Ví dụ về đặt mục đích
• 1 tổ chức sổ xố
– ATTT của hệ thống sổ xố phải đảm bảo được tính bảo mật và
chính xác của người đăng ký, số tiền nhận được, số sở xố mua
được, số tiền trúng thưởng,…
Yêu cầu về tài liệu ISMS
• Đảm bảo đầy đủ mục 4 -10 theo ISO 27001:2013
• Các tài sản thông tin ít nhất bao gồm:
Phần cứng
Phần mềm
Con người
Tài liệu hướng dẫn, tập huấn
• Được đánh giá và kiểm định bởi lãnh đạo cấp cao
hoặc bên thứ ba
Mẫu tài liệu hệ thống quản
lý thông tin
Mục lục ISMS
• Mục tiêu ISMS 4.3
• Chính sách ATTT 5.2
• Phương pháp đánh giá rủi ro 6.1.2
• Báo cáo đánh giá rủi ro 6.1.2,
8.2
• Cam kết 6.1.3
d)
• Phương pháp xử lý rủi ro 6.1.3,
8.3
• Mục tiêu ATTT 6.2
• Năng lực nhân sự 7.2
• Tài liệu hóa mọi thông tin 7.5.1
b)
• Tài liệu hóa mọi thông tin theo TC 27001 7.5.1
a)
• Phương pháp Giám sát, đo lường,
Các quy
Xác Xác trình bị Có biện pháp kiểm
định định ảnh soát không?
mục nguồn hưởng
tiêu
• Điểm yếu
– Đặc điểm (bao gồm cả điểm yếu) của một tài sản thông
tin hoặc một nhóm tài sản thông tin có thể bị lợi dụng
bởi một mối đe dọa
– Ví dụ: Cấu hình tường lửa cơ bản có thể bị tin tặc khai thác các cổng dư thừa
Mối nguy hại và điểm yếu
Phân tích các mối nguy hại và khả năng khai thác điểm yếu
Ví dụ về các mối nguy hại:
• Tin tặc đánh cắp thông tin
• Tin tặc nội bộ
• Các đối tác không bị kiểm soát
• Thiên tai
• Ví dụ về các điểm yếu
– Tường lửa không được kiểm tra cấu hình
– Không có biện pháp kiểm soát vật lý/trên mạng
– Không kiểm tra khách
– Mật khẩu dễ doán
– Cho phép mọi người trong nội bộ truy cập vào mọi
loại tài sản thông tin
– Không có bản sao lưu hệ thống
Phương pháp đánh giá và xử lý rủi ro
Các bước cần thực hiện khi đánh giá hệ thống thông tin
• Xác định mọi tài sản thông tin liên quan đến hệ thống thông tin
• Xác định mọi đối tượng có khả năng truy cập tài sản thông tin
• Xác định các mối nguy hại đến tài sản thông tin
• Xác định các điểm yếu và mối nguy hại liên quan
• Xác định độ nghiêm trọng của các điểm yếu
• Áp dụng các biện pháp kiểm soát với các mối nguy hại
• Áp dụng các biện pháp kiểm soát để giảm thiểu ảnh hưởng điểm yếu của
hệ thống
• Theo dõi thông qua kiểm thử
• Làm lại từ bước 1 khi có thay đổi quan trọng
Phương pháp đánh giá và xử lý rủi ro
Khi đặt đường giới hạn, ta cần đảm bảo:
• Đường giới hạn được đặt ra dựa trên tiêu chuẩn
• Kiểm soát lượng tài nguyên cần sử dụng
• Nếu đường giới hạn quá cao, chi phí sẽ rất cao
• Nếu đường giới hạn quá thấp, tính an toàn sẽ thấp
Phương pháp đánh giá và xử lý rủi ro
Khả năng xảy ra - Hiếm, rất ít khi, có thể, gần như, chắc chắn
Tính lặp lại - Hiếm, rất ít khi, có thể, gần như, chắc chắn
Very High 6 8 10 12 14
Consequence
High 5 7 9 11 13
Moderate 4 6 8 10 12
Low 3 5 7 9 11
Very Low 2 4 6 8 10
Bảng đánh giá
Phương pháp kiểm soát
Phương pháp kiểm soát
Xử lý
Chọn và áp dụng biện pháp để giảm thiểu rủi ro
Chuyển đổi