intTypePromotion=1
zunia.vn Tuyển sinh 2024 dành cho Gen-Z zunia.vn zunia.vn
ADSENSE

Bài giảng An toàn thông tin dưới góc độ quản lý hệ thống phù hợp tiêu chuẩn ISO/IEC 27001:2005

Chia sẻ: ViMarkzuckerberg Markzuckerberg | Ngày: | Loại File: PDF | Số trang:21

47
lượt xem
7
download
 
  Download Vui lòng tải xuống để xem tài liệu đầy đủ

Bài giảng An toàn thông tin dưới góc độ quản lý hệ thống phù hợp tiêu chuẩn ISO/IEC 27001:2005 trình bày các nội dung chính sau: Yêu cầu tiêu chuẩn ISO/IEC27001:2005; Thiết lập, áp dụng, duy trì và cải tiến HTQL ANTT; Giấy chứng nhận toàn cầu ISO/IEC 27001:2005; Những vấn đề cần quan tâm khi xây dựng ISMS.

Chủ đề:
Lưu

Nội dung Text: Bài giảng An toàn thông tin dưới góc độ quản lý hệ thống phù hợp tiêu chuẩn ISO/IEC 27001:2005

  1. ANTT dưới góc độ quản lý hệ thống phù hợp tiêu chuẩn ISO/IEC 27001:2005 Yêu cầu tiêu chuẩn ISO/IEC27001:2005 Thiết lập, áp dụng, duy trì và cải tiến HTQL ANTT Giấy chứng nhận toàn cầu ISO/IEC 27001:2005 Những vấn đề cần quan tâm khi xây dựng ISMS 1 D.A.S Vietnam Certification Ltd.
  2. Quá trình hình thành yêu cầu tiêu chuẩn ISO/IEC 27001:2005 2005 2002 2003 1995 BS 7799 - 2 2000 2000 BS 7799 - 1 ISO 17799: 2000 1999 BS 7799 - 2 2 D.A.S Vietnam Certification Ltd.
  3. Bộ tiêu chuẩn ISO/IEC 27000 ISO/IEC 27001:2005 Các yêu cầu ISO/IEC ISO/IEC 27000:2009 27002:2005 Các nguyên tắc Mã Thực hành và từ vựng ISMS ISO/IEC Bộ tiêu chuẩn ISO/IEC 27006:2007 27003:2010 Dành cho các ISO/IEC 27000 Hướng dẫn áp TC đánh giá và dụng ISMS chứng nhận ISO/IEC ISO/IEC 27005:2007 27004:2007 Quản lý rủi ro Đo lường ISMS ISMS 3 D.A.S Vietnam Certification Ltd.
  4. ISO/IEC 27001:2005 – CÁC YÊU CẦU (theo cấu trúc tiêu chuẩn) 4. Hệ thống 5. Trách nhiệm 6 Đánh giá 7 Xem xét 8. Cải tiến quản lý an ninh của lãnh đạo nội bộ ISMS lãnh đạo ISMS thông tin ISMS 5.1. Cam kết 8.1. Cải tiến 4.1. Yêu cầu của lãnh đạo 7.1. Khái quát thường xuyên chung 5.2 Quản lý 7.2. Đầu vào 8.2. Hành động nguồn lực của xem xét khắc phục 4.2. Thiết lập và quản lý ISMS 8.3. Hành động 7.3. Đầu ra phòng ngừa của xem xét 4.3. Các yêu cầu về tài liệu 4 D.A.S Vietnam Certification Ltd.
  5. 11 mục tiêu kiểm soát và các kiểm soát Chính sách an ninh Tuân thủ 1 An ninh thông tin của tổ chức 11 2 Quản lý tính liên tục Quản lý tài sản trong kinh doanh 10 3 10 An ninh nguồn nhân ISMS Quản lý sự cố an 4 lực Kiểm soát ninh thông tin 9 5 An ninh vật lý và môi trường Duy trì và phát triển các C 8 hệ thống 6 Quản lý các tác nghiệp và truyền E 7 thông Kiểm soát truy cập 5 D.A.S Vietnam Certification Ltd.
  6. Mô hình PDCA áp dụng để kiến trúc nên mọi mọi quá trình ISMS PLAN Các bên Các bên quan quan tâm Thiết lập ISMS tâm Áp dụng và Duy trì và ACT DO cải tiến ISMS vận hành ISMS Các yêu An ninh cầu và thông mong Giám sát và tin được đợi về xem xét ISMS quản lý ISMS CHECK 6 D.A.S Vietnam Certification Ltd.
  7. QUẢN LÝ RỦI RO – vấn đề trọng tâm khi tiếp cận ISMS Đảm bảo tính kinh doanh liên tục và tuân thủ chế định và pháp định Mục tiêu kiểm soát rủi ro – Phương pháp đánh giá rủi ro Nhận biết các mức độ bảo mật, giá trị của tất cả các tài sản Rủi ro về sở Thông tin Những điểm yếu Các hữu tài sản hành Con người Phần mềm động Kiếm cải soát tiến xử lý Tài sản giảm rủi ro Hình ảnh rủi ro Vật lý uy tín Mất độ tin cậy, Các mối đe Các h.động Đối tác tính toàn dọa sản xuất Khách hàng vẹn, Dịch vụ Thầu phụ tính sẵn sàng Tiêu chí chấp nhận rủi ro Đo lường, đánh giá tính hiệu lực của các phương pháp kiểm soát Nhận biết những rủi ro còn sót lại 7 D.A.S Vietnam Certification Ltd.
  8. AN NINH THÔNG TIN Đo lường mức độ rủi ro đối với Tài sản thông tin (dữ liệu thông tin dưới dạng bản cứng, bản mềm, giao tiếp… ) PLAN Tổ Xây dựng các mục tiêu Tổ chức kiểm soát an ninh TT chức Khách • Mức độ bảo mật giá trị tài sản thông tin Khách hàng nhằm giảm rủi ro trong phạm vi áp dụng hàng và SOA Nhà Nhà cung cung cấp DO ACT cấp Thực hiện các biện pháp Duy trì và cải tiến an ninh Các thông tin Các bên kiểm soát an ninh TT Thông bên • Các quyết sách cải tiến để giảm thiểu rủi quan • Xác định mức độ đe dọa/ rủi ro tới tài sản tin ro quan (rất cao, cao, trung bình, thấp..). tâm • Điểm yếu dễ bị tấn công Sẵn sàng • Mục tiêu an ninh tâm •Hệ thống tài liệu (thủ tục, quy đinh..), hồ sơ • Thực hiện kiểm soát an ninh dữ liệu, kiểm • Hạ tầng kỹ thuật (camera quan sát, server, soát rủi ro theo mục tiêu và kế hoạch xử lý cáp, máy móc… ) rủi ro đã đặt ra • Con người Các yêu An cầu và CHECK ninh mong Giám sát và xem xét kiểm thông đợi về soát an ninh thông tin tin ISMS • Báo cáo đánh giá rủi ro được •Đánh giá và đo lường các biện pháp kiểm soát rủi ro quản lý • Nhận biết và chấp nhận những rủi ro còn sót lại. 8 D.A.S Vietnam Certification Ltd.
  9. AN NINH THÔNG TIN Kiểm soát rủi ro và cách thức xử lý rủi ro đối với tài sản thông tin 1. Nhận biết và kiếm soát tài 1. Nhận biết và 2. Kiểm sản dữ liệu bản mềm soát các Kiểm soát biên liên Dữ liệu: tài sản dữ quan đến liệu bản dữ liệu mềm - trong quá trình xử lý Îphân quyền truy cập, quyền thiết lập, xem, phê duyệt… - trong quá trình trao đổi Î áp 3. Kiểm dụng các phương pháp mã hóa dữ 6. Quản lý soát môi hoạt động liệu được công bố và thừa nhận trường vật và truyền Dữ liệu lý lưu trữ thông dữ liệu - lưu trữ Î định kỳ backup, kiểm Bản mềm soát tính toàn vẹn, bảo mật và sẵn Sẵn sàng sàng ---- 5. Kiểm 4. Kiểm soát rủi ro soát rủi ro liên quan liên quan đến con đến các người phần mềm 9 D.A.S Vietnam Certification Ltd.
  10. AN NINH THÔNG TIN Kiểm soát rủi ro và cách thức xử lý rủi ro đối với tài sản thông tin 1. Nhận 2. Kiểm soát các bên liên 2. Kiểm biết và soát các quan đến dữ liệu Kiểm soát biên liên tài sản dữ quan đến liệu bản - Tổ chức Î kiểm soát theo các mục dữ liệu mềm tiêu kiểm soát Tổ chức đã đặt ra… - Nhà cung cấp (dịch vụ đường truyền, host….) Î quy định và kiểm 3. Kiểm soát việc thực hiện các cam kết bảo 6. Quản lý mật theo yêu cầu của Tổ chức…. soát môi hoạt động trường vật và truyền Dữ liệu lý lưu trữ - Khách hàng Î thống nhất hình thông Bản mềm dữ liệu thức bảo mật dữ liệu (các quy định bảo mật trong quá trình giao dịch, Sẵn sàng việc mã hóa dữ liệu…) ---- 5. Kiểm 4. Kiểm soát rủi ro soát rủi ro liên quan liên quan đến con đến các người phần mềm 10 D.A.S Vietnam Certification Ltd.
  11. AN NINH THÔNG TIN Kiểm soát rủi ro và cách thức xử lý rủi ro đối với tài sản thông tin 1. Nhận 3. Kiểm soát các rủi ro liên 2. Kiểm biết và soát các quan đến môi trường vật lý Kiểm soát tài sản dữ biên liên lưu trữ dữ liệu quan đến liệu bản - PC, Laptop Îtrách nhiệm với tài dữ liệu mềm sản, quyền truy cập, … - Host Î vị trí phòng và điều kiện phòng Host, kiểm soát ra vào, 3. Kiểm camera quan sát, login, hồ sơ tình 6. Quản lý soát các trạng hoạt động, phương án đối phó hoạt động rủi ro đên với tình huống khẩn cấp (mất điện, và truyền môi thông Dữ liệu trường vật hacker…) Bản mềm lý lưu trữ - Khu vực các máy tính Î sơ đồ bố Sẵn sàng trí khu vực đặt máy, các vành đai an ninh bảo vệ 5. Kiểm 4. Kiểm soát rủi ro soát rủi ro -Thiên tai, hỏa hoạn, lũ lụt Î báo liên quan liên quan cáo của các cơ quan chức năng, đến con đến các phương án đối phó với tình huống người phần mềm khẩn cấp.. - --- 11 D.A.S Vietnam Certification Ltd.
  12. AN NINH THÔNG TIN Kiểm soát rủi ro và cách thức xử lý rủi ro đối với tài sản thông tin 1. Nhận 4. Kiểm soát rủi ro liên quan 2. Kiểm biết và soát các đến các phần mềm Kiểm soát biên liên tài sản dữ quan đến - chương trình phần mềm ứng dụng liệu bản Î có bản quyền, dữ liệu mềm - Network Î xây dựng các vành đai an ninh (firewall, giới hạn truy cập các trang web có rủi ro cao, các 3. Kiểm biện pháp kỹ thuật khác… 6. Quản lý soát môi hoạt động trường vật và truyền thông Dữ liệu lý lưu trữ Bản mềm dữ liệu Sẵn sàng 5. Kiểm 4. Kiểm soát rủi ro soát rủi ro liên quan liên quan đến con đến các người phần mềm 12 D.A.S Vietnam Certification Ltd.
  13. AN NINH THÔNG TIN Kiểm soát rủi ro và cách thức xử lý rủi ro đối với tài sản thông tin 1. Nhận 5. Kiểm soát rủi ro liên quan 2. Kiểm biết và soát các đến con người Kiểm soát biên liên tài sản dữ quan đến Tiếp cận dữ liệu, phần mềm ứng liệu bản dụng Î phân quyền truy cập, quyền dữ liệu mềm phê duyệt, chỉnh sửa, sao chép dữ liệu.... Xác định những cá nhân có mức độ rủi ro cao đưa ra các biện pháp kiểm soát 3. Kiểm 6. Quản lý soát môi - nhận thức về bảo mật thông tin Î hoạt động đào tạo, giáo dục nhận thức về trường vật và truyền thông Dữ liệu lý lưu trữ chính sách bảo mật và các nguyên Bản mềm dữ liệu tắc bảo mật, nhận biết những rủi ro Sẵn sàng - tuân thủ các nguyên tắc bảo mật Î hợp đồng và cam kết bảo mật 5. Kiểm 4. Kiểm thông tin đối với các cá nhân (đặc soát rủi ro soát rủi ro biệt đối với cá nhân có mức độ rủi liên quan liên quan ro , định kỳ và đột xuất kiểm tra việc đến con đến các tuân thủ các nguyên tắc bảo mật… người phần mềm ---- 13 D.A.S Vietnam Certification Ltd.
  14. AN NINH THÔNG TIN Đo lường mức độ rủi ro và cách thức xử lý rủi ro đối với tài sản TT PLAN Tổ Xây dựng các mục tiêu Tổ chức kiểm soát an ninh TT chức Khách • Mức độ bảo mật giá trị tài sản thông tin Khách hàng nhằm giảm rủi ro trong phạm vi áp dụng hàng và SOA Nhà Nhà cung cung cấp DO ACT cấp Thực hiện các biện pháp Duy trì và cải tiến an ninh Các thông tin Các bên kiểm soát an ninh TT Thông bên • Các quyết sách cải tiến để giảm thiểu rủi quan • Xác định mức độ đe dọa/ rủi ro tới tài sản tin ro quan (rất cao, cao, trung bình, thấp..). tâm • Điểm yếu dễ bị tấn công Sẵn sàng • Mục tiêu an ninh tâm •Hệ thống tài liệu (thủ tục, quy đinh..), hồ sơ • Thực hiện kiểm soát an ninh dữ liệu, kiểm • Hạ tầng kỹ thuật (camera quan sát, server, soát rủi ro theo mục tiêu và kế hoạch xử lý cáp, máy móc… ) rủi ro đã đặt ra • Con người Các yêu An cầu và CHECK ninh mong Giám sát và xem xét kiểm thông đợi về soát an ninh thông tin tin ISMS • Báo cáo đánh giá rủi ro được •Đánh giá và đo lường cádc biện pháp kiểm soát rủi ro quản ly • Nhận biết và chấp nhận những rủi ro còn sót lại. 14 D.A.S Vietnam Certification Ltd.
  15. AN NINH NGUỒN NHÂN LỰC Mục tiêu kiểm soát: nguồn nhân lực trong nội bộ tổ chức, nhà thầu và bên thứ ba nhận thức và thực hiện ISMS Trước tuyển dụng Tài sản của Tổ chức Sẵn sàng Trong thời gian Nghỉ việc hoặc làm việc chuyển vị trí 15 D.A.S Vietnam Certification Ltd.
  16. AN NINH VẬT LÝ VÀ MÔI TRƯỜNG Kiểm soát sự xâm nhập trái phép, mất hoặc làm gián đoạn các hoạt động của Tổ chức AN NINH VẬT LÝ VÀ MÔI TRƯỜNG An ninh các An ninh thiết bị khu vực • Vành đai an toàn vật lý •Vị trí thiết bị và bảo vệ • Kiểm soát xâm nhập vật lý • Các phương tiện hỗ trợ • An toàn các phòng ban, • An toàn dây cáp phương tiện, • Bảo dưỡng thiết bị • Phòng chống những đe dọa • An toàn các thiết bị đặt bên từ môi trường và môi trường ngoài bên ngoài • An toàn trong loại bỏ và tái • An ninh khu vực làm việc sử dụng thiết bị • Các khu vực truy cập công • Di chuyển tài sản cộng… 16 D.A.S Vietnam Certification Ltd.
  17. QUẢN LÝ RỦI RO – vấn đề trọng tâm khi tiếp cận ISMS Đảm bảo tính kinh doanh liên tục và tuân thủ chế định và pháp định Mục tiêu kiểm soát rủi ro – Phương pháp đánh giá rủi ro Nhận biết các mức độ bảo mật, giá trị của tất cả các tài sản Rủi ro về sở Thông tin Những điểm yếu Các hữu tài sản hành Con người Phần mềm động Kiếm cải soát tiến xử lý Tài sản giảm rủi ro Hình ảnh rủi ro Vật lý uy tín Mất độ tin cậy, Các mối đe Các h.động Đối tác tính toàn dọa sản xuất Khách hàng vẹn, Dịch vụ Thầu phụ tính sẵn sàng Tiêu chí chấp nhận rủi ro Đo lường, đánh giá tính hiệu lực của các phương pháp kiểm soát Nhận biết những rủi ro còn sót lại 17 D.A.S Vietnam Certification Ltd.
  18. Trình tự thiết lập 1. Cam kết xây dựng Hệ thống ISMS 2. Xác định phạm vi, ranh giới ISMS 3. Xây dựng chính sách ISMS 4. Xác định tài sản và giá trị tài sản 5. Xác định các yêu cầu của luật định, chế định và yêu cầu của khách hàng HTQL ANTT phù 6. Nhận biết rủi ro, phân tích – lượng hóa rủi ro, đánh giá rủi ro và lựa chọn hợp yêu cầu tiêu các phương án xử lý rủi ro. chuẩn 7. Xác định các mục tiêu kiểm soát và ISO/IEC27001:2005 phương pháp kiểm soát 8. Thiết lập hệ thống tài liệu theo yêu cầu ISO/IEC 27001:2005 9. Công bố áp dụng – SOA 10. Thực hiện, vận hành, giám sát, xem xét, duy trì và cải tiến an ninh thông tin 18 D.A.S Vietnam Certification Ltd.
  19. Giấy chứng nhận ISO/IEC 27001:2005 giá trị toàn cầu 19 D.A.S Vietnam Certification Ltd.
  20. Những vấn đề cần quan tâm khi xây dựng HTQLANTT 1 CSO/ ISMR CSO/ ISMR là Lãnh đạo cao nhất nhận thức yêu cầu ISO/IEC 27001:2005 Nhân sự của Tổ chức và các bên liên quan phải nhận thức và tuân thủ. Con người Lưu trữ tài sản thông tin: Lưu giữ bản cứng (phòng, tủ, khóa..) Lưu trữ bản mềm: Server, hệ thống backup dữ liệu nội bộ, từ xa, ổ dữ liệu, máy hủy tài liệu… Thiết bị Truy cập, xử lý và truyền tải thông tin: phần mềm ứng dụng có bản quyền, thiết kế và xây dựng, áp dụng hệ thống an ninh mạng, đường cáp chống đồng bộ nhiễu… Thiết bị kiểm soát xâm nhập vật lý: Hệ thống camera quan sát, kiểm soát thẻ từ, vân tay, UPS, máy phát điện, hệ thống phòng chống cháy nổ…. Các thiết bị theo yêu cầu của ngành, khách hàng và luật pháp. Hệ thống Các quy định, thủ tục/ quy trình, hướng dẫn…và hồ sơ đáp ứng yêu cầu của tài liệu, hồ sơ Tổ chức, các bên quan tâm, luật pháp và tiêu chuẩn ISO/IEC27001:2005 20 D.A.S Vietnam Certification Ltd.
ADSENSE

CÓ THỂ BẠN MUỐN DOWNLOAD

 

Đồng bộ tài khoản
7=>1