ISO 27001:2013

Mục Lục
• Định nghĩa ISMS (Hệ thống quản lý hệ thống thông tin)
• Hiểu được mục tiêu và nội dung của ISO/IEC 27001:2013
• Phương pháp tài liệu hóa hệ thống thông tin dựa trên
ISO/IEC 27001:2013
Mục tiêu của ATTT

• Bảo mật (Confidentiality)

• Vẹn toàn (Integrity)
• Sẵn sang (Availability)
Hệ thống quản lý AT hệ thống thông tin (ISMS) là gì?

• ISMS (Information Security Management System) là hệ

thống tập hợp các tài liệu liên quan đến chính sách, tiêu
chuẩn, quy trình, hướng dẫn cũng như các buổi tập huấn mà
được doanh nghiệp sử dụng để đảm bảo an toàn cho tài sản
trong hệ thống thông tin, như là:
 Tài liệu quản lí rủi ro
 Các phương án, quy trình được ghi lại
 Các buổi tập huấn, hướng dẫn
 Công cụ, phần mềm và thiết bị như tường lửa, phần mềm
diệt virus, SIEM, và phần mềm bảo mật khác.
Hệ thống quản lý AT hệ thống thông
tin (ISMS) là gì?
• ISMS đảm bảo thiết kế và chức năng của hệ thống thông tin đáp ứng được nhu cầu
và mục tiêu của doanh nghiệp. Điều này bao gồm quy mô, cấu trúc, yêu cầu về an
toàn dữ liệu được lưu trữ.
• Mục tiêu chính của ISMS là bảo đảm an toàn hệ thống cho doanh nghiệp thông qua
những phương pháp như xác định, kiểm tra, và quản lý rủi ro.
Tài sản hệ thống thông tin
• Tất cả mọi con người có khả năng ảnh hưởng đến an
toàn hệ thống thông tin như:
• Quản lý viên
• Nhân viên
• Đối tác
• Khách hàng
• Và các bên liên quan khác
Tài sản hệ thống thông tin
Thông tin hệ thống có thể nằm trên rất nhiều
dạng như:
• Tài liệu: Thông tin từ nhân sự, hợp đồng
• Phần cứng: máy chủ, laptop, điện thoại
• Phần mềm: OS, ứng dụng mạng xã hội
• Con người: Quản lý, TT hỗ trợ k/h, nhân sự
• Tài liệu: tài liệu nội bộ, ghi chú nội bộ
• Đối tác
Tại sao cần ISMS dựa trên 1 chuẩn nhất định?
• Nâng cao độ tin cậy vào hệ thống
• Dựa trên một phương pháp, giải pháp đã được chứng minh
• Nâng cao quản lý mọi loại hình nhân sự
• Tránh việc rò rỉ thông tin, mất niềm tin k/h
• Nâng cao nhận thức cho nhân viên
Một mô hình ISMS thành công cần:
• Đáp ứng mục tiêu kinh doanh
• Dựa trên yêu cầu bảo mật từ
 Doanh nghiệp
 Khách hàng
 Đối tác
 Các đối tượng khác
• Quy trình được tài liệu hóa
• Hỗ trợ trong quản lý và nâng cao bảo mật
• Hỗ trợ trong đánh giá lại hệ thống và kiểm định
ISO 27001

• ISO 27001 là tiêu chuẩn được phát triển với mục tiêu tạo ra bộ
khung quản lý hệ thống thông tin cho doanh nghiệp. Đây là một tiêu
chuẩn trung lập được quốc tế chấp nhận.
Phạm vi của ISO 27001
• Phạm vi của ISO 27001 có thể không chỉ tập trung
vào hệ thống it mà còn:
– Kiểm soát thay đổi trong tài chính
– Kiểm soát thông tin cá nhân của các đối tượng liên
quan
– Bảo đảm an toàn thông tin cho hệ thống
– Kiểm soát nhân sự có khả năng truy cập vào hệ thống
thiết yếu
– Nâng cao nhận thức về ATTT
ISO/IEC
27001:2013
1.Phạm vi
2.Tài liệu viện dẫn
3.Thuật ngữ và định nghĩa
4.Bối cảnh của tổ chức
• Hiểu tổ chức và bối cảnh của tổ chức
• Hiểu được nhu cầu và mong đợi của các
bên liên quan
• Phạm vi của hệ thống quản lý
ATTT
• Cam kết thiết lập tài liệu hệ thống
quản lý ATTT
5. Sự lãnh đạo
• Sự lãnh đạo và cam kết
• Chính sách ATTT
• Vai trò và trách nhiệm
6. Hoạch định
• Xác định rủi ro và cơ hội
• Đặt ra các mục tiêu
ISO/IEC
27001:2013
7.Hỗ trợ
• Cam kết nguồn lực
• Kiểm soát trình độ nhân sự
• Nhận thức
• Trao đổi thông tin
• Tài liệu hóa
8.Vận hành
• Lên kế hoạch và kiểm soát
• Đánh giá rủi ro
• Xử lý rủi ro
9. Đánh giá hiệu năng
• Giám sát, đo lường, phân tích, và đánh giá
• Đánh giá nội bộ
• Đánh giá từ lãnh đạo
10. Cải tiến
• Khi có điểm không phù hợp
• Cải tiến liên tục
Quá trình đánh giá hệ thống để lập tài liệu
 Lên kế hoạch đánh giá
• Xác định mục tiêu
Những vấn đề nào có thể được xử lý sau khi đánh giá
• Ai sẽ tham gia
Bộ phận nào sẽ phải tham gia đánh giá?
• Ai sẽ thực thi
• Kế hoạch kiểm định nội bộ
• Chỉ đạo từ cấp trên
Lên kế hoạch đánh giá
Xác định mục đích chính
• Xác định đối tượng quan tâm đến tài liệu đánh giá
• Những dữ liệu cần bảo mật
– VD: Thông tin hệ thống, thông tin khách hàng,…
• Những ảnh hưởng khi dữ liệu bị lộ
– VD: Ảnh hưởng vận hành, ảnh hưởng danh tiếng,…
Lên kế hoạch đánh giá
• Xác định phạm vi rõ ràng
– Các bên thứ ba có nằm trong tầm kiểm soát không?
– Các bên thứ ba có phải làm theo các biện pháp kiểm soát?
Ví dụ về đặt mục đích ATTT doanh
nghiệp
• Công ty bất động sản
– ATTT của công ty A cần đảm bảo được sự bảo
mật các thông tin về giá cả thị trường cùa từng
mảnh đất, hiện trạng tài chính của chủ sở hữu, và
các thông tin cá nhân liên quan dù trên mạng hay
trên tài liệu vật lý , hoặc thông qua trao đổi thông
tin.
Ví dụ về đặt mục đích

• 1 tổ chức sổ xố
– ATTT của hệ thống sổ xố phải đảm bảo được tính bảo mật và
chính xác của người đăng ký, số tiền nhận được, số sở xố mua
được, số tiền trúng thưởng,…
Yêu cầu về tài liệu ISMS
• Đảm bảo đầy đủ mục 4 -10 theo ISO 27001:2013
• Các tài sản thông tin ít nhất bao gồm:
 Phần cứng
 Phần mềm
 Con người
 Tài liệu hướng dẫn, tập huấn
• Được đánh giá và kiểm định bởi lãnh đạo cấp cao
hoặc bên thứ ba
Mẫu tài liệu hệ thống quản
lý thông tin
Mục lục ISMS
• Mục tiêu ISMS 4.3
• Chính sách ATTT 5.2
• Phương pháp đánh giá rủi ro 6.1.2
• Báo cáo đánh giá rủi ro 6.1.2,
8.2
• Cam kết 6.1.3
d)
• Phương pháp xử lý rủi ro 6.1.3,
8.3
• Mục tiêu ATTT 6.2
• Năng lực nhân sự 7.2
• Tài liệu hóa mọi thông tin 7.5.1
b)
• Tài liệu hóa mọi thông tin theo TC 27001 7.5.1
a)
• Phương pháp Giám sát, đo lường,

phân tích, và đánh giá 9.1

• Kế hoạch đánh giá nội bộ 9.2
• Ý kiến của lãnh đạo 9.3
Lưu ý khi lập tài liệu

Cần phải dựa trên:

• Quy mô và yêu cầu của doanh nghiệp
• Sự phức tạp của các quy trình
• Sự tham gia của các bộ phận
• Tuân thủ luật pháp
Lưu ý khi lập tài liệu
Tài liệu cần phải:
• Thể hiện được những hành động cần làm để đạt được các tiêu chí
• Tài liệu hóa lại các quy trình liên quan
• Khi tài liệu hóa các quy trình và biện pháp kiểm soát cần:
– Định nghĩa được chức năng của chúng
– Thể hiện được phương pháp thực hiện

• Có tính tiếp nối, và có thể lập lại

Phương pháp giám sát, đo
lường, đánh giá
Đặt ra đường giới hạn (baseline)
• Đối tượng nào sẽ cần đánh giá và kiểm định lại

• Phương pháp đánh giá

• Khi nào cần hoàn tất

• Đối tượng chịu trách nhiệm

• Xử lý kết quả thu được sau đánh giá

Đánh giá rủi ro hệ
thống thông tin
Nhắc lại – Tài sản hệ thống
thông tin
Thông tin hệ thống có thể nằm trên rất nhiều dạng như:
Tài liệu: Thông tin từ nhân sự, hợp đồng
Phần cứng: máy chủ, laptop, điện thoại
Phần mềm: OS, ứng dụng mạng xã hội
Con người: Quản lý, TT hỗ trợ k/h, nhân sự
Tài liệu: tài liệu nội bộ, ghi chú nội bộ
Đối tác
Đánh giá rủi ro
• Là thành phần quan trọng khi thực hiện theo TC ISO
27001 :
• Đánh giá rủi ro ATTT(6.1.2)
• Thiết lập và duy trì các tiêu chí về rủi ro ATTT(6.1.2.a)
• Đảm bảo rằng đánh giá rủi ro ATTT được lặp lại tạo ra kết
quả nhất quán, hợp lệ và có khả năng so sánh(6.1.2.b)
• Xử lý rủi ro ATTT(8.3)
Phương pháp xác định và xử lý rủi ro

Các quy
Xác Xác trình bị Có biện pháp kiểm
định định ảnh soát không?
mục nguồn hưởng
tiêu

Đánh giá lại

biện pháp kiểm
Continual re-assessment
soát
Enablers = c ritical
resources
 Mối nguy và điểm yếu
• Mối nguy hại
– Nguyên nhân tiềm ẩn của một sự kiện không mong muốn có thể
gây hại cho hệ thống hoặc tổ chức
– Cố ý, vô ý hoặc do tự nhiên
– Ví dụ: phần mềm lậu, thiên tai, ….

• Điểm yếu
– Đặc điểm (bao gồm cả điểm yếu) của một tài sản thông
tin hoặc một nhóm tài sản thông tin có thể bị lợi dụng
bởi một mối đe dọa
– Ví dụ: Cấu hình tường lửa cơ bản có thể bị tin tặc khai thác các cổng dư thừa
 Mối nguy hại và điểm yếu
Phân tích các mối nguy hại và khả năng khai thác điểm yếu
Ví dụ về các mối nguy hại:
• Tin tặc đánh cắp thông tin
• Tin tặc nội bộ
• Các đối tác không bị kiểm soát
• Thiên tai
• Ví dụ về các điểm yếu
– Tường lửa không được kiểm tra cấu hình
– Không có biện pháp kiểm soát vật lý/trên mạng
– Không kiểm tra khách
– Mật khẩu dễ doán
– Cho phép mọi người trong nội bộ truy cập vào mọi
loại tài sản thông tin
– Không có bản sao lưu hệ thống
Phương pháp đánh giá và xử lý rủi ro
Các bước cần thực hiện khi đánh giá hệ thống thông tin
• Xác định mọi tài sản thông tin liên quan đến hệ thống thông tin
• Xác định mọi đối tượng có khả năng truy cập tài sản thông tin
• Xác định các mối nguy hại đến tài sản thông tin
• Xác định các điểm yếu và mối nguy hại liên quan
• Xác định độ nghiêm trọng của các điểm yếu
• Áp dụng các biện pháp kiểm soát với các mối nguy hại
• Áp dụng các biện pháp kiểm soát để giảm thiểu ảnh hưởng điểm yếu của
hệ thống
• Theo dõi thông qua kiểm thử
• Làm lại từ bước 1 khi có thay đổi quan trọng
Phương pháp đánh giá và xử lý rủi ro
Khi đặt đường giới hạn, ta cần đảm bảo:
• Đường giới hạn được đặt ra dựa trên tiêu chuẩn
• Kiểm soát lượng tài nguyên cần sử dụng
• Nếu đường giới hạn quá cao, chi phí sẽ rất cao
• Nếu đường giới hạn quá thấp, tính an toàn sẽ thấp
 Phương pháp đánh giá và xử lý rủi ro

• Phân tích rủi ro 1 cách chi tiết

– Xác định giá trị của tài sản thông tin
– Đánh giá rủi ro cho mọi tài sản thông tin
– Có hệ thống để kiểm soát hoặc chấp nhận rủi ro
Chiến thuật đánh giá rủi ro
Ảnh hưởng - Rất thấp, Thấp, Vừa, Cao, Rất cao
của điểm yếu

Khả năng - Hiếm, rất ít khi, có thể, gần như,

xảy ra chắc chắn

Giá trị tài

sản Rất thấp, Thấp, Vừa, Cao, Rất cao
-
Đánh giá rủi ro dựa trên 3 tiêu chí trên
Chiến thuật đánh giá rủi ro
Ảnh hưởng - Rất thấp,Thấp, Vừa, Cao, Rất cao
của điểm yếu

Khả năng xảy ra - Hiếm, rất ít khi, có thể, gần như, chắc chắn

Tính lặp lại - Hiếm, rất ít khi, có thể, gần như, chắc chắn

Đánh giá rủi ro dựa trên 3 tiêu chí trên

Bảng đánh giá
Likelihood Rare(R) Unlikely (U) Possible (P) Likely (L) Certain (C)

Very High 6 8 10 12 14
Consequence

High 5 7 9 11 13

Moderate 4 6 8 10 12

Low 3 5 7 9 11

Very Low 2 4 6 8 10
Bảng đánh giá
Phương pháp kiểm soát
Phương pháp kiểm soát
Xử lý
Chọn và áp dụng biện pháp để giảm thiểu rủi ro
Chuyển đổi

Chuyển đổi rủi ro cho bên thứ ba, như là

mua bảo hiểm, thuê dịch vụ, …
Kiểm soát
Đưa ra những luật, quy tắc hoặc áp
dụng công nghệ để kiểm soát chặt chẽ
các mối nguy hại
Chấp nhận
Chấp nhận rủi ro
Nguồn tham khảo biện pháp kiểm soát
• Sau khi xác định rủi ro, đây là một số nguồn tham khảo để đề ra các biện
pháp kiểm soát, kiểm thử
– ISO 27002
– NIST https://csrc.nist.gov/Projects/risk-management/sp800-53-controls/release-search#/controls?
version=5.1
Kết luận
 Kết luận tuần 2
• ISMS (Information Security Management System) là hệ thống tập hợp
các tài liệu liên quan đến chính sách, tiêu chuẩn, quy trình, hướng dẫn
cũng như các buổi tập huấn mà được doanh nghiệp sử dụng để đảm bảo
an toàn cho tài sản trong hệ thống thông tin
• ISO 27001:2013 gồm tài liệu và các phương pháp quản lý rủi ro
• Các phương pháp cần thực hiện khi đánh giá hệ thống dựa trên ISO 27001 bao
gồm tài liệu hóa, ứng dụng và đánh giá biện pháp kiểm soát, đánh giá điểm yếu
và rủi ro hệ thống, theo dõi vận hành hệ thống, và cải tiến hệ thống