TIÊU CHUẨN ISO 27001
GVHD: T S T Ạ T HỊ KIỀU AN
Tiểu luận
Phân tích thực trạng áp dụng tiêu chuẩn ISO 27001 tại
Ngân hàng Thương mại cổ phần Ngoại thương Việt Nam
T rang 1
TIÊU CHUẨN ISO 27001
GVHD: T S T Ạ T HỊ KIỀU AN
Lời nói đầu
Hiện nay trên thế giới nói chung và Việt Nam nói riêng, mọi hoạt động sản xuất kinh doanh
phần lớn sử dụng máy tính và mạng internet để tương tác với nhau. Tốc độ phát triển của CNTT
trong những năm gần đây là rất nhanh nhưng kèm theo đó là các nguy cơ và rủi ro về CNTT ngày
một gia tăng. Do vậy, việc xây dựng hệ thống quản lý an toàn thông tin (ATTT) là việc tất yếu
phải làm đối với tất cả các doanh nghiệp trong thời đại công nghệ số ngày nay.
Điều đáng buồn, Việt Nam đang là nước bị tin tặc lộng hành khá phổ biến mặc dù tốc độ
phát triển hệ thống thông tin và Internet của Việt Nam chưa được xem là cao trong khu vực. Có
rất nhiều các Website quan trọng liên quan đến tài chính, chứng khoán mặc dù đã được các tổ
chức về an toàn cảnh báo nhiều lần nhưng tình trạng an toàn vẫn không được cải thiện. Thực tế
đó phản ánh sự lơ là trong công tác an toàn thông tin, gián tiếp gây thiệt hại lớn về kinh tế: hệ
thống máy tính bị đánh cắp, dữ liệu bị đánh cắp, gây thiệt hại cho doanh nghiệp và khách hàng.
Tình hình an toàn mạng thông tin Việt Nam hiện nay còn rất nhiều thách thức, đặc biệt là
nguồn nhân lực có trình độ còn thiếu trầm trọng, và sự đầu tư cho lĩnh vực này mới chỉ nhỏ giọt,
ít được sự quan tâm và chưa đúng tầm. Về môi trường pháp lý, sự chưa hoàn thiện và thiếu đồng
bộ dẫn tới tình trạng không có chế tài đủ mạnh để răn đe các Hacker có hành vi phát tán Virus
trên diện rộng và tấn công vào những hệ thống máy tính doanh nghiệp để trục lợi. Trong khi đó,
khả năng công nghệ bị đánh giá là thiếu và yếu. Một hạ tầng mạng không đủ mạnh sẽ không thể
đương đầu với những thách thức và đe dọa an toàn có mức độ tinh vi và chuyên nghiệp ngày càng
cao. Bên cạnh đó, mức đầu tư cho công nghệ thông tin tại Việt Nam vẫn còn ở mức thấp. Trung
bình các nước trên thế giới có mức đầu tư cho công nghệ là 8-10%. Còn tại Việt Nam, con số này
thấp hơn nhiều. Do mức đầu tư hạn hẹp nên rất ít doanh nghiệp, tổ chức có một bộ phận IT riêng,
chủ yếu những công việc này chỉ do một số ít người kiêm nhiệm. Từ đó dẫn tới tình trạng an
ninh, an toàn thông tin lỏng lẻo, có nhiều kẽ hở để kẻ xấu lợi dụng. Các vụ tấn công hiện nay
được tổ chức bài bản hơn, quy mô hơn, kín đáo hơn và mức độ thiệt hại cũng lớn hơn.
Chính vì vậy, nhóm chúng tôi đã quyết định làm đề tài “Phân tích thực trạng áp dụng tiêu
chuẩn ISO 27001 tại Ngân hàng Thương mại cổ phần Ngoại thương Việt Nam” để chỉ ra các lợi
T rang 2
TIÊU CHUẨN ISO 27001
GVHD: T S T Ạ T HỊ KIỀU AN
ích khi áp dụng tiêu chuẩn ISO này và những vấn đề cần lưu ý khi xây dựng, triển khai, áp dụng
tiêu chuẩn ISO này.
Mục lục
Phần 1: Giới thiệu hệ thống ISM S ...........................................................................................................5
1.1.
Giới thiệu chung:......................................................................................................................5
1.2.
Phạm vi áp dụng:......................................................................................................................7
1.3.
Thuật ngữ và định nghĩa: .........................................................................................................7
1.4.
Hệ thống quản lý an toàn thông tin (ISM S): ............................................................................9
1.5.
Trách nhiệm của ban quản lý: ................................................................................................16
1.6.
Kiểm tra nội bộ ISM S: ...........................................................................................................17
1.7.
Ban quản lý soát xét ISMS:....................................................................................................18
1.8.
Nâng cấp ISM S: .....................................................................................................................19
1.9.
Triển khai tiêu chuẩn ISO 27001 cho tổ chức: ......................................................................20
1.10.
Lợi ích của việc áp dụng ........................................................................................................21
1.11.
Thực trạng áp dụng tiêu chuẩn ISO 27001 tại Việt Nam.......................................................22
Phần 2: Phân tích thực trạng tình hình áp dụng tiêu chuẩn ISO 27001:2005 tại Ngân hàng TM CP
Ngoại thương Việt Nam (VCB) .............................................................................................................24
2.1.
Giới thiệu Ngân hàng TM CP Ngoại thương Việt Nam .........................................................24
2.2.
Phân tích thực trạng áp dụng tiêu chuẩn ISO 27001 tại VCB: ..............................................26
2.3.
Kết luận ..................................................................................................................................46
T rang 3
TIÊU CHUẨN ISO 27001
GVHD: T S T Ạ T HỊ KIỀU AN
T rang 4
TIÊU CHUẨN ISO 27001
GVHD: T S T Ạ T HỊ KIỀU AN
Phần 1: Giới thiệu hệ thống ISMS
1.1.
Giới thiệu chung:
1.1.1. Tiêu chuẩn ISO 27001:2005 là gì?
Tiêu chuẩn quốc tế “Information security management system” (ISMS-hệ thống quản lý an
toàn thông tin) có mã số ISO/IEC 27001:2005 được biên soạn bởi ủy ban kỹ thuật chung về công
nghệ thông tin - ISO/IEC JTC 1 thuộc tiểu ban các kỹ thuật an toàn thông tin - SC 27 thuộc tổ
chức ISO. Tiêu chuẩn này được ban hành vào tháng 10 năm 2005 để thay thế tiêu chuẩn cùng tên
có mã số BS 7799-2:2002 do tổ chức Britist Standard ban hành năm 2002.
Tiêu chuẩn quốc tế này được xây dựng để đưa ra một mô hình cho việc thiết lập, triển khai,
điều hành, giám sát, soát xét, bảo trì và nâng cấp ISMS. Việc chấp nhận triển khai một hệ ISMS
sẽ là một quyết định chiến lược của tổ chức. Thiết kế và triển khai hệ thống quản lý an toàn thông
tin của một tổ chức phụ thuộc vào các nhu cầu và mục tiêu khác nhau, các yêu cầu về an toàn cần
phải đạt, các quy trình đang được sử dụng và quy mô, cấu trúc của tổ chức. Các điều này và các
hệ thống hỗ trợ sẽ cần được cập nhật và thay đổi. Đầu tư và triển khai một ISMS cần phải phù
hợp với nhu cầu thực tiễn của tổ chức.
Tiêu chuẩn này có thể sử dụng để đánh giá sự tuân thủ của các bộ phận bên trong tổ chức
cũng như các bộ phận bên ngoài liên quan đến tổ chức.
1.1.2. Cách tiếp cận theo quy trình của tiêu chuẩn ISO 27001:2005
Tiêu chuẩn này khuyến khích việc chấp nhận cách tiếp cận theo quy trình khi thiết lập, triển
khai, điều hành, giám sát, soát xét, bảo trì và nâng cấp ISMS của tổ chức.
Một tổ chức cần xác định và quản lý rất nhiều hoạt động để vận hành một cách hiệu quả.
Bất cứ hoạt động nào sử dụng các tài nguyên và quản lý việc tiếp nhận các đầu vào chuyển hóa
thành đầu ra có thể coi như một quy trình. Thông thường đầu ra của một quy trình này là đầu vào
của một quy trình tiếp theo.Việc áp dụng một hệ thống các quy trình trong tổ chức, cùng với sự
nhận biết tương tác giữa các quy trình như vậy, và sự quản lý chúng, có thể coi như “cách tiếp
cận theo quy trình”.
Cách tiếp cận theo quy trình cho quản lý an toàn thông tin được trình bày trong tiêu chuẩn
này nhằm khuyến khích người sử dụng nhấn mạnh các điểm quan trọng sau:
T rang 5
TIÊU CHUẨN ISO 27001
GVHD: T S T Ạ T HỊ KIỀU AN
Việc hiểu các yêu cầu an toàn thông tin của tổ chức và các sự cần thiết phải thiết lập
chính sách và mục tiêu cho an toàn thông tin.
Việc triển khai và điều hành các biện pháp để quản lý rủi ro an toàn thông tin của tổ
chức trước tất cả các rủi ro chung có thể xảy ra với tổ chức.
Việc giám sát và soát xét lợi ích và hiệu quả của ISMS.
Việc thường xuyên nâng cấp dựa trên các khuôn khổ mục tiêu đã đặt ra.
Tiêu chuẩn này cũng đưa ra một mô hình để áp dụng cho tất cả các quy trình trong ISMS.
Đó là mô hình PDCA (Lập kế hoạch-Thực hiện-Kiểm tra-Hành Động) như sơ đồ bên dưới
Hình 1: Áp dụng mô hình PDCA cho các quy trình của hệ thống quản lý an toàn thông tin
Trong đó:
P (Plan)-thiết lập ISMS: thiết lập các chính sách, mục tiêu, quy trình và thủ tục liên quan
đến việc quản lý các rủi ro và nâng cao an toàn thông tin nhằm đem lại các kết quả phù hợp với
các chính sách và mục tiêu chung của tổ chức.
D (Do)-triển khai và điều hành ISMS: Cài đặt và vận hành các chính sách, biện pháp quản
lý, quy trình và thủ tục của hệ thống ISMS.
T rang 6
TIÊU CHUẨN ISO 27001
GVHD: T S T Ạ T HỊ KIỀU AN
C (Check)-giám sát và soát xét ISMS: Xác định hiệu quả việc thực hiện quy trình dựa trên
chính sách, mục tiêu mà hệ thống ISMS đã đặt ra; kinh nghiệm thực tiễn và báo cáo kết quả cho
việc soát xét của ban quản lý.
A (Act)-Duy trì và nâng cấp ISMS: Tiến hành các biện pháp hoàn thiện và bảo vệ dựa trên
các kết quả của việc kiểm toán nội bộ ISMS, soát xét của ban quản lý hoặc các thông tin liên
quan khác nhằm liên tục hoàn thiện hệ thống ISMS.
1.2.
Phạm vi áp dụng:
Tiêu chuẩn này hướng tới việc áp dụng rộng rãi cho nhiều loại hình tổ chức khác nhau (ví
dụ: tổ chức thương mại, cơ quan nhà nước, các tổ chức phi lợi nhuận, v.v… ). Nội dung tiêu
chuẩn chỉ rõ yêu cầu cho từng quá trình: thiết lập; triển khai; điều hành; giám sát; soát xét; bảo trì
và nâng cấp một ISMS để đảm bảo an toàn thông tin trước những tất cả các rủi ro có thể xảy ra
với tổ chức. Tiêu chuẩn này cũng chỉ rõ các yêu cầu khi triển khai các biện pháp bảo vệ an toàn
đã được chọn lọc phù hợp với nhu cầu của tổ chức hoặc một bộ phận của tổ chức.
ISMS được thiết kế các biện pháp đảm bảo an toàn thông tin phù hợp và đầy đủ để bảo vệ
các tài sản thông tin và đem lại sự tin tưởng của các bên liên quan như đối tác, khách hàng v.v…
Các yêu cầu của tiêu chuẩn này là mang tính tổng quát nhằm ứng dụng rộng rãi cho nhiều
loại hình tổ chức khác nhau.
1.3.
Thuật ngữ và định nghĩa:
1.3.1. Tài sản: là bất cứ gì có giá trị đối với tổ chức.
1.3.2. Tính sẵn sàng: tính chất đảm bảo mọi thực thể được phép có thể truy cập và sử
dụng theo yêu cầu.
1.3.3. Tính bí mật: tính chất đảm bảo thông tin không sẵn sàng và công khai đối với các
cá nhân, thực thể và các tiến trình không được phép.
1.3.4. An toàn thông tin: sự duy trì tính bí mật, tính toàn vẹn và tính sẵn sàng của thông
tin; ngoài ra còn có thể bao hàm một số tính chất khác như xác thực, kiểm soát,
chống chối bỏ và tin cậy.
T rang 7
TIÊU CHUẨN ISO 27001
GVHD: T S T Ạ T HỊ KIỀU AN
1.3.5. Sự kiện an toàn thông tin: Một sự kiện xác định xảy ra trong một hệ thống, một
dịch vụ hay một trạng thái mạng chỉ ra sự vi phạm chính sách an toàn thông tin, sự
thất bại của hệ thống bảo vệ hoặc một tình huống bất ngờ liên quan đến an toàn.
1.3.6. Sự cố an toàn thông tin: Một hoặc một chuỗi các sự kiện an toàn thông tin không
mong muốn có khả năng làm tổn hại các hoạt động của cơ quan tổ chức và đe dọa
an toàn thông tin.
1.3.7. Hệ thống quản lý an toàn thông tin (ISMS):
Hệ thống quản lý an toàn thông tin là một phần của hệ thống quản lý tổng thể, căn cứ vào
việc đánh giá rủi ro có thể xuất hiện trong hoạt động của tổ chức để thiết lập, triển khai, điều
hành, giám sát, soát xét, bảo trì và nâng cấp an toàn thông tin.
Chú ý: Hệ thống quản lý tổng thể bao gồm cơ cấu, chính sách, kế hoạch hoạt động, trách
nhiệm, quy định, thủ tục, quy trình và tài nguyên của tổ chức.
1.3.8. Tính toàn vẹn: Tính chất đảm bảo sự chính xác và sự toàn vẹn của các tài sản.
1.3.9. Rủi ro tồn đọng: Các rủi ro còn lại sau quá trình xử lý rủi ro.
1.3.10.Sự chấp nhận rủi ro: Quyết định chấp nhận sự tồn tại một rủi ro.
1.3.11.Phân tích rủi ro: Sử dụng thông tin một cách có hệ thống nhằm xác định các nguồn
gốc và đánh giá rủi ro.
1.3.12.Đánh giá rủi ro: quá trình tổng thể phân tích rủi ro và đánh giá rủi ro.
1.3.13.Đánh giá giá trị rủi ro: Quá trình so sánh rủi ro đã được dự đoán với chỉ tiêu rủi ro
đã có nhằm xác định mức độ nghiêm trọng của rủi ro.
1.3.14.Quản lý rủi ro: Các hoạt động phối hợp nhằm điều khiển và quản lý một tổ chức
trước các rủi ro có thể xảy ra.
1.3.15.Xử lý rủi ro: Quá trình lựa chọn và triển khai các biện pháp hạn chế rủi ro.
1.3.16.Thông báo áp dụng:
Thông báo được biên soạn nhằm mô tả mục tiêu quản lý và biện pháp quản lý thích hợp áp
dụng cho hệ thống ISMS của tổ chức.
CHÚ Ý: các mục tiêu và biện pháp kiểm soát được xây dựng dựa trên các kết quả và kết
luận của đánh giá rủi ro và quy trình xử lý rủi ro, các yêu cầu hay chế tài về pháp lý, các ràng
buộc và các yêu cầu trong hoạt động nghiệp vụ của tổ chức để đảm bảo an toàn thông tin.
T rang 8
TIÊU CHUẨN ISO 27001
GVHD: T S T Ạ T HỊ KIỀU AN
1.3.17.Tổ chức:
Tổ chức (TC) là hình thức tập hợp, liên kết các thành viên trong xã hội (cá nhân, tập thể) nhằm
đáp ứng yêu cầu, nguyện vọng, lợi ích của các thành viên; cùng nhau hành động vì mục tiêu chung.
1.4.
Hệ thống quản lý an toàn thông tin (ISMS):
1.4.1. Các yêu cầu chung:
Tổ chức cần phải thiết lập, triển khai, điều hành, giám sát, bảo trì và nâng cấp một hệ thống
quản lý an toàn thông tin (ISMS) đã được tài liệu hóa trong bối cảnh toàn bộ hoạt động của tổ
chức có những rủi ro đang phải đối mặt.
1.4.2. Thiết lập và quản lý ISMS:
1.4.2.1.
Thiết lập ISMS:
Để thiết lập ISMS, tổ chức cần thực hiện những công việc sau:
a. Xác định phạm vi và ranh giới của ISMS theo các khía cạnh: đặc điểm của doanh
nghiệp, tổ chức, địa điểm, các tài sản và công nghệ, đồng thời bao gồm cả các thông
tin chi tiết về bất cứ lý do loại trừ ngoài phạm vi áp dụng.
b. Vạch rõ chính sách triển khai ISMS theo các mặt: đặc thù công việc; sự tổ chức; địa
điểm; các tài sản và công nghệ. Bao gồm:
Bao gồm khuôn khổ cho các mục tiêu, thiết lập định hướng tổng thể và nguyên
tắc hoạt động liên quan đến an ninh thông tin.
Sẽ đưa vào tài khoản kinh doanh và yêu cầu pháp lý hoặc quy định, nghĩa vụ
theo hợp đồng.
Gắn với bối cảnh quản lý rủi ro chiến lược của tổ chức, trong đó việc thành lập
và duy trì các hệ thống ISMS sẽ diễn ra.
Thiết lập các tiêu chí dựa vào đó rủi ro sẽ được đánh giá.
Được sự chấp thuận của Ban Giám đốc.
Chú ý: Để đạt được mục tiêu của tiêu chuẩn này, chính sách triển khai ISMS được xem xét
như là một danh mục đầy đủ các chính sách an toàn thông tin. Các chính sách này có thể được mô
tả trong cùng một tài liệu.
c. Xác định phương pháp tiếp cận đánh giá rủi ro của tổ chức
T rang 9
TIÊU CHUẨN ISO 27001
GVHD: T S T Ạ T HỊ KIỀU AN
Xác định hệ phương pháp đánh giá rủi ro thích hợp với hệ thống ISMS, và các
quy định, pháp lý, an toàn bảo mật thông tin đã xác định.
Phát triển chỉ tiêu cho các rủi ro có thể chấp nhận và vạch rõ các mức rủi ro có
thể chấp nhận được.
Hệ phương pháp đánh giá rủi ro được lựa chọn sẽ đảm bảo các đánh giá rủi ro đưa ra các kết
quả có thể so sánh và tái tạo được.
Chú ý: Có nhiều hệ phương pháp đánh giá rủi ro khác nhau.
d. Xác định các rủi ro:
Xác định các tài sản trong phạm vi hệ thống ISMS và đối tượng quản lý các tài
sản này.
Xác định các mối đe doạ có thể xảy ra đối với tài sản.
Xác định các yếu điểm có thể bị khai thác bởi các mối đe doạ trên.
Xác định những tác động xấu tới các tính chất quan trọng của tài sản cần bảo
đảm: bí mật, toàn vẹn và sẵn sàng.
e. Phân tích và đánh giá các rủi ro:
Đánh giá các ảnh hưởng hoạt động của tổ chức do sự cố về an toàn thông tin,
chú ý đến các hậu quả của việc mất tính bí mật, toàn vẹn hay sẵn sàng của các
tài sản.
Đánh giá các khả năng thực tế có thể xảy ra sự cố an toàn thông tin bắt nguồn từ
các mối đe dọa và nguy cơ đã dự đoán. Đồng thời đánh giá các tác động tới tài
sản và các biện pháp bảo vệ đang thực hiện.
Ước lượng các mức độ của rủi ro.
Xác định rủi ro được chấp nhận hay phải có biện pháp xử lý dựa trên các chỉ
tiêu chấp nhận rủi ro đã được thiết lập.
f. Xác định và đánh giá các lựa chọn cho việc xử lý rủi ro
Các hoạt động có thể thực hiện:
Áp dụng các biện pháp quản lý thích hợp.
T rang 10
TIÊU CHUẨN ISO 27001
GVHD: T S T Ạ T HỊ KIỀU AN
Chấp nhận rủi ro với điều kiện chúng hoàn toàn thỏa mãn các chính sách và tiêu
chuẩn chấp nhận rủi ro của tổ chức.
Tránh các rủi ro.
Chuyển giao các rủi ro cho các bộ phận khác như bảo hiểm, nhà cung cấp v.v....
g. Lựa chọn các mục tiêu quản lý và biện pháp quản lý để xử lý các rủi ro:
Các mục tiêu quản lý và biện pháp quản lý sẽ được lựa chọn và thực hiện để đáp
ứng các yêu cầu được xác định bởi quá trình xử lý rủi ro và đánh giá rủi ro. Sự
lựa chọn này sẽ xem xét đến tiêu chuẩn chấp nhận rủi ro cũng như các yêu cầu
về pháp lý, quy định và cam kết phải tuân thủ.
Các mục tiêu quản lý và biện pháp quản lý trong phụ lục A (của tiêu chuẩn) có
thể được lựa chọn như là một phần thích hợp để bảo đảm các yêu cầu đã xác
định.
Các yêu cầu quản lý và biện pháp quản lý trong phụ lục A là chưa thực sự đầy
đủ. Tùy trường hợp có thể lựa chọn thêm các mục tiêu quản lý và biện pháp
quản lý cần thiết khác.
Chú ý: Phụ lục A bao gồm một danh sách bao gồm nhiều mục tiêu quản lý và biện pháp
quản lý một cách toàn diện có khả năng thích hợp đối với nhiều tổ chức. Người sử dụng tiêu
chuẩn quốc tế này có thể sử dụng phụ lục A như là điểm khởi đầu trong việc lựa chọn biện pháp
quản lý để không có các biện pháp quan trọng bị bỏ sót.
h. Được ban quản lý phê chuẩn các rủi ro tồn đọng đã đề xuất.
i. Được ban quản lý cho phép cài đặt và vận hành hệ thống ISMS.
j. Chuẩn bị thông báo áp dụng:
Thông báo áp dụng ISMS bao gồm:
Các mục tiêu quản lý và biện pháp quản lý đã được lựa chọn trong mục 4.2.1g)
và các cơ sở tiến hành lựa chọn;
Các mục tiêu quản lý và biện pháp quản lý đang được thực hiện;
Sự loại trừ các mục tiêu quản lý và biện pháp quản lý trong phụ lục A cũng như
giải trình cho việc này
T rang 11
TIÊU CHUẨN ISO 27001
GVHD: T S T Ạ T HỊ KIỀU AN
Chú ý: Thông báo này cung cấp thông tin tóm tắt cho các quyết định liên quan đến việc xử
lý rủi ro. Việc giải trình các biện pháp và mục tiêu quản lý trong phụ lục A không được sử dụng
nhằm tránh khả năng bỏ sót.
1.4.2.2.
Triển khai và điều hành ISMS:
Quá trình triển khai và điều hành hệ thống ISMS đòi hỏi thực hiện như sau:
a. Lập kế hoạch xử lý rủi ro trong đó xác định các hoạt động quản lý thích hợp, tài
nguyên, trách nhiệm và mức độ ưu tiên để quản lý các rủi ro an toàn thông tin.
b. Triển khai kế hoạch xử lý rủi ro nhằm đạt được mục tiêu quản lý đã xác định trong
đó bao gồm cả sự xem xét kinh phí đầu tư cũng như phân bổ vai trò, trách nhiệm.
c. Triển khai các biện pháp quản lý được lựa chọn để thỏa mãn các mục tiêu quản lý.
d. Định nghĩa cách tính toán mức độ hiệu quả của các biện pháp quản lý hoặc nhóm các
biện pháp quản lý đã lựa chọn và chỉ ra các kết quả này sẽ được sử dụng như thế nào
trong việc đánh giá tính hiệu quả quản lý nhằm tạo ra những kết quả có thể so sánh
được và tái tạo được.
e. Triển khai các chương trình đào tạo nâng cao nhận thức.
f. Quản lý hoạt động hệ thống ISMS.
g. Quản lý các tài nguyên dành cho hệ thống ISMS.
h. Triển khai các thủ tục và các biện pháp quản lý khác có khả năng phát hiện các sự
kiện an toàn thông tin cũng như phản ứng với các sự cố an toàn thông tin.
1.4.2.3.
Giám sát và soát xét ISMS:
Để thực hiện tốt, tổ chức thực hiện các biện pháp sau đây:
a. Tiến hành giám sát, đánh giá và biện pháp quản lý an toàn thông tin khác nhằm
Nhanh chóng phát hiện ra các lỗi trong kết quả xử lý.
Nhanh chóng xác định các tấn công, lỗ hổng và sự cố an toàn thông tin.
Cho phép ban quản lý xác định kết quả các các công nghệ cũng như con người
đã đem lại có đạt mục tiêu đề ra hay không.
Hỗ trợ phát hiện các sự kiện an toàn thông tin do đó ngăn chặn sớm các sự cố an
toàn thông tin bằng các chỉ thị cần thiết.
T rang 12
TIÊU CHUẨN ISO 27001
GVHD: T S T Ạ T HỊ KIỀU AN
Xác định đúng hiệu quả của các hoạt động xử lý lỗ hổng an toàn thông tin.
b. Thường xuyên kiểm tra, đánh giá hiệu quả của hệ thống ISMS (bao gồm việc xem
xét tính phù hợp giữa chính sách, các mục tiêu quản lý và đánh giá của việc thực hiện
các biện pháp quản lý an toàn thông tin) trong đó xem xét đến các kết quả kiểm tra an
toàn bảo mật, các sự cố đã xảy ra, kết quả tính toán hiệu quả, các đề xuất, kiến nghị
cũng như các thông tin phản hồi thu thập được.
c. Tính toán hiệu quả của các biện pháp quản lý đã thỏa mãn các yêu cầu về bảo đảm
ATTT.
d. Soát xét lại các đánh giá rủi ro đã tiến hành đồng thời xem xét các rủi ro được bỏ qua
cũng như mức độ rủi ro có thể chấp nhận được. Trong đó lưu ý các thay đổi trong:
Tổ chức;
Công nghệ;
Mục tiêu và các quá trình nghiệp vụ;
Các mối nguy hiểm, đe doạ an toàn thông tin đã xác định;
Tính hiệu quả của các biện pháp quản lý đã thực hiện;
Các sự kiện bên ngoài chẳng hạn như thay đổi trong môi trường pháp lý, quy
định, điều khoản phải tuân thủ, hoàn cảnh xã hội
e. Thực hiện việc kiểm tra nội bộ hệ thống ISMS một cách định kỳ
Chú ý: Kiểm tra nội bộ đôi khi còn được gọi là kiểm tra sơ bộ và được tự thực hiện.
f. Đảm bảo thường xuyên kiểm tra việc quản lý hệ thống ISMS để đánh giá mục tiêu
đặt ra có còn phù hợp cũng như nâng cấp cần thiết cho hệ thống ISMS.
g. Cập nhật kế hoạch bảo đảm an toàn thông tin theo sát thay đổi của tình hình thực tế
thu được qua các hoạt động giám sát và đánh giá.
h. Ghi chép, lập tài liệu về các sự kiện và hoạt động có khả năng ảnh hưởng đến tính
hiệu quả hoặc hiệu lực của hệ thống ISMS.
1.4.2.4.
Duy trì và nâng cấp ISMS:
Tổ chức cần thường xuyên thực hiện:
a. Triển khai các nâng cấp cho hệ thống ISMS đã xác định.
T rang 13
TIÊU CHUẨN ISO 27001
GVHD: T S T Ạ T HỊ KIỀU AN
b. Tiến hành hoàn chỉnh và có các biện pháp phòng ngừa thích hợp. Chú ý vận dụng
kinh nghiệm đã có cũng như tham khảo từ các tổ chức khác.
c. Thông báo và thống nhất với các thành phần liên quan về các hoạt động và sự nâng
cấp của hệ thống ISMS.
d. Đảm bảo việc thực hiện nâng cấp phải phù hợp với các mục tiêu đã đặt ra.
1.4.3. Các yêu cầu về hệ thống tài liệu
1.4.3.1.
Khái quát:
Tài liệu bao gồm tập hợp các hồ sơ xử lý nhằm đảm bảo cho phép: truy lại được các quyết
định xử lý, chính sách và đảm bảo rằng các kết quả ghi nhận là có thể tái tạo lại được.
Điều quan trọng là cần nêu rõ được sự liên quan giữa các biện pháp quản lý đã chọn với kết
quả của các quy trình đánh giá và xử lý rủi ro cũng như với các chính sách và mục tiêu của hệ
thống ISMS đã được đặt ra.
Các tài liệu của hệ thống ISMS bao gồm:
a. Các thông báo về chính sách và mục tiêu của hệ thống ISMS.
b. Phạm vi của hệ thống ISMS.
c. Các thủ tục và biện pháp quản lý hỗ trợ cho hệ thống ISMS.
d. Mô tả hệ phương pháp đánh giá rủi ro.
e. Báo cáo đánh giá rủi ro.
f. Kế hoạch xử lý rủi ro.
g. Các thủ tục dạng văn bản của tổ chức để có thể đảm bảo hiệu quả của kế hoạch, sự
điều hành và quản lý các quy trình bảo đảm an toàn thông tin và mô tả phương thức
đánh giá hiệu quả của các biện pháp quản lý đã áp dụng
h. Các hồ sơ cần thiết được mô tả trong mục 4.3.3 của tiêu chuẩn này.
i. Thông báo áp dụng.
Chú ý 1: Cụm từ “thủ tục dưới dạng văn bản” trong ngữ cảnh của tiêu chuẩn quốc tế này có
nghĩa là các thủ tục đã được thiết lập, biên soạn thành tài liệu, triển khai và bảo trì.
Chú ý 2: Quy mô của tài liệu về hệ thống ISMS giữa các tổ chức là khác nhau và phụ thuộc
vào:
T rang 14
TIÊU CHUẨN ISO 27001
GVHD: T S T Ạ T HỊ KIỀU AN
Kích thước và loại hình hoạt động của tổ chức.
Phạm vi và độ phức tạp của các yêu cầu an toàn bảo mật cũng như các hệ thống
đang được tổ chức quản lý.
Chú ý 3: Các hồ sơ và tài liệu có thể được biểu diễn dưới bất kỳ hình thức và phương tiện
nào phù hợp.
1.4.3.2.
Biện pháp quản lý tài liệu:
Các tài liệu cần thiết của hệ thống ISMS cần phải được bảo vệ và quản lý thích hợp. Một thủ
tục sẽ được thiết lập để xác định các hoạt động quản lý cần thiết nhằm:
a. Phê duyệt các tài liệu thỏa đáng trước khi được ban hành;
b. Soát xét tài liệu và tiến hành các sửa đổi cần thiết để có thể phê duyệt lại;
c. Đảm bảo nhận biết được các thay đổi và tình trạng sửa đổi hiện hành của tài liệu;
d. Đảm bảo rằng các phiên bản tài liệu thích hợp luôn có sẵn ở nơi cần sử dụng;
e. Đảm bảo rằng các tài liệu phải rõ ràng, dễ đọc và dễ nhận biết;
f. Đảm bảo tài liệu phải sẵn sàng đối với người cần, được chuyển giao, lưu trữ và hủy
bỏ được áp dụng theo các thủ tục phù hợp.
g. Đảm bảo các tài liệu có nguồn gốc bên ngoài được nhận biết;
h. Đảm bảo việc phân phối tài liệu phải được quản lý;
i. Tránh việc vô tình sử dụng phải các tài liệu quá hạn;
j. Áp dụng các biện pháp định danh phù hợp đối với các tài liệu cần lưu trữ.
1.4.3.3.
Biện pháp quản lý hồ sơ:
Các hồ sơ sẽ được thiết lập và duy trì để cung cấp các dẫn chứng thể hiện sự phù hợp giữa
yêu cầu và các hoạt động điều hành của hệ thống ISMS. Các hồ sơ sẽ được bảo vệ và quản lý. Hệ
thống ISMS sẽ phải chú ý đến các pháp lý liên quan, các yêu cầu sửa đổi và các ràng buộc đã
thống nhất. Hồ sơ phải dễ đọc, dễ nhận biết và có thể sửa được. Các biện pháp quản lý cần thiết
để định danh, lưu trữ, bảo vệ, sửa chữa, thời gian sử dụng và hủy bỏ của hồ sơ sẽ được biên soạn
và thực hiện. Các hồ sơ sẽ được giữ theo quy trình như đã phác thảo trong mục 4.2 và các sự cố
đáng kể xuất hiện có liên quan đến hệ thống ISMS.
Ví dụ : hồ sơ là một quyển sách ghi chép về các khách tham quan, báo cáo kiểm toán v.v…
T rang 15
TIÊU CHUẨN ISO 27001
GVHD: T S T Ạ T HỊ KIỀU AN
1.5. Trách nhiệm của ban quản lý:
1.5.1. Cam kết của ban quản lý:
Ban quản lý phải cam kết sẽ cung cấp các dẫn chứng để thiết lập, triển khai, điều hành, giám
sát, đánh giá, bảo trì và nâng cấp hệ thống quản lý an toàn thông tin bằng:
a. Thiết lập chính sách cho hệ thống bảo đảm an toàn thông tin
b. Đảm bảo rằng các mục tiêu và kế hoạch của hệ thống an toàn thông tin đã được xây
dựng.
c. Xây dựng vai trò và trách nhiệm của an toàn thông tin
d. Trao đổi với tổ chức về các mục tiêu bảo đảm an toàn thông tin và làm cho phù hợp
với các chính sách an toàn thông tin, các trách nhiệm dưới luật và cần thiết tiếp tục
cải tiến;
e. Thông tin cho toàn bộ tổ chức biết về tầm quan trọng của các mục tiêu an toàn thông
tin cần đạt được, sự tuân thủ chính sách an toàn thông tin, trách nhiệm trước pháp
luật và sự cần thiết phải nâng cấp, cải thiện hệ thống một cách thường xuyên.
f. Cung cấp đầy đủ tài nguyên cho các quá trình thiết lập, triển khai, điều hành, giám
sát, kiểm tra, bảo trì và nâng cấp hệ thống ISMS.
g. Xác định chỉ tiêu cho các rủi ro và mức độ rủi ro có thể chấp nhận được.
h. Đảm bảo việc chỉ đạo quá trình kiểm toán nội bộ hệ thống ISMS.
i. Chỉ đạo việc soát xét sự quản lý của hệ thống ISMS.
1.5.2. Quản lý nguồn lực:
1.5.2.1.
Cấp phát nguồn lực:
Tổ chức phải xác định và cung cấp các nguồn lực cần thiết:
a. Thiết lập, triển khai, điều hành, giám sát, soát xét, bảo trì và nâng cấp hệ thống
ISMS;
b. Đảm bảo rằng các quy trình bảo đảm an toàn thông tin hỗ trợ cho các yêu cầu nghiệp
vụ;
c. Xác định và áp dụng các yêu cầu pháp lý và quy định cũng như các ràng buộc về an
toàn thông tin phải tuân thủ;
T rang 16
TIÊU CHUẨN ISO 27001
GVHD: T S T Ạ T HỊ KIỀU AN
d. Duy trì đầy đủ an toàn bảo mật bằng cách áp dụng tất cả các biện pháp quản lý đã
được triển khai;
e. Thực hiện soát xét và có các biện pháp xử lý khi cần thiết.
f. Nâng cao năng lực của hệ thống ISMS khi cần thiết.
1.5.2.2.
Đào tạo, nhận thức và năng lực
Tổ chức phải đảm bảo những người có trách nhiệm trong hệ thống ISMS phải có đầy đủ
năng lực để thực hiện các nhiệm vụ được giao bằng cách:
a. Xác định các kỹ năng cần thiết để có thể thực hiện hiệu quả công việc được giao.
b. Cung cấp các khóa đào tạo hoặc tuyển chọn người đã có năng lực để có thể thỏa mãn
yêu cầu.
c. Đánh giá mức độ hiệu quả của các hoạt động đã thực hiện
d. Lưu giữ hồ sơ về việc học vấn, quá trình đào tạo, các kỹ năng, kinh nghiệm và trình
độ chuyên môn.
Tổ chức cũng cần đảm bảo rằng tất cả những cá nhân liên quan đều nhận thức được tầm
quan trọng của các hoạt động đảm bảo an toàn thông tin và hiểu cách góp phần thực hiện các mục
tiêu của hệ thống ISMS.
1.6.
Kiểm tra nội bộ ISMS:
Tổ chức chỉ đạo kiểm tra nội bộ hệ thống theo kế hoạch để xác định các mục tiêu quản lý,
biện pháp quản lý, quy trình, thủ tục trong hệ thống ISMS:
a. Theo các yêu cầu của tiêu chuẩn này, pháp lý và các quy định liên quan.
b. Theo các yêu cầu trong đảm bảo an toàn thông tin.
c. Phải đảm bảo hiệu quả trong triển khai và duy trì.
d. Hoạt động diễn ra đúng như mong muốn.
Các chương trình kiểm tra sẽ được lên kế hoạch và cần xem xét đến các vấn đề như hiện
trạng, ý nghĩa của các quy trình và phạm vi được kiểm tra. Các chỉ tiêu, phạm vi, tần suất và biện
pháp sẽ được xác định. Sự lựa chọn người tiến hành kiểm tra (kiểm tra viên) và cách hướng dẫn,
chỉ đạo kiểm tra sẽ đảm bảo tính khách quan, công bằng cho quá trình kiểm tra. Kiểm tra viên
không nên tự kiểm tra công việc của mình.
T rang 17
TIÊU CHUẨN ISO 27001
GVHD: T S T Ạ T HỊ KIỀU AN
Các trách nhiệm và yêu cầu cho việc lập kế hoạch và hướng dẫn kiểm tra, báo cáo kết quả
và lưu giữ hồ sơ (xem 1.4.3.3) phải được xác định rõ ràng trong một thủ tục dưới dạng văn bản.
Ban quản lý chịu trách nhiệm cho phạm vi đang được kiểm tra sẽ phải đảm bảo các hoạt
động được thực hiện đúng thời hạn nhằm loại bỏ các vi phạm. Các hoạt động tiếp theo sẽ bao
gồm việc thẩm tra các hoạt động đã thực hiện và lập báo cáo về kết quả thẩm tra này.
1.7.
Ban quản lý soát xét ISMS:
1.7.1. Khái quát:
Ban quản lý sẽ soát xét hệ thống ISMS của tổ chức theo kế hoạch đã đặt ra (ít nhất một lần
trong năm) để luôn luôn đảm bảo tính chất phù hợp, đầy đủ và hiệu quả. Sự xoát xét này bao gồm
đánh giá các cơ hội cho việc nâng cấp và sự cần thiết phải thay đổi của hệ thống ISMS, bao gồm
các chính sách an toàn thông tin và mục tiêu an toàn thông tin. Các kết quả của việc soát xét sẽ
được lưu giữ và biên soạn thành tài liệu (xem 1.4.3.3).
1.7.2. Đầu vào của việc soát xét:
Đầu vào cho ban quản lý tiến hành việc soát xét hệ thống ISMS bao gồm:
a. Các kết quả kiểm tra và soát xét hệ thống ISMS.
b. Thông tin phản hồi từ các bộ phận có liên quan.
c. Các kỹ thuật, sản phẩm hoặc thủ tục có thể được sử dụng trong tổ chức nhằm nâng
cao hiệu quả và năng lực của hệ thống ISMS.
d. Hiện trạng của các hành động ngăn ngừa và khắc phục, sửa chữa.
e. Các lỗ hổng hoặc nguy cơ mất an toàn thông tin không được đề cập một cách thấu
đáo trong lần đánh giá rủi ro trước.
f. Các kết quả đánh giá năng lực của hệ thống.
g. Các hoạt động tiếp theo lần soát xét trước.
h. Các thay đổi có ảnh hưởng đến hệ thống ISMS
i. Các kiến nghị nhằm cải thiện hệ thống.
1.7.3. Đầu ra của việc soát xét:
Ban quản lý sau khi soát xét hệ thống ISMS sẽ cần đưa ra các quyết định và hoạt động trong việc:
a. Nâng cao năng lực của hệ thống ISMS.
T rang 18
TIÊU CHUẨN ISO 27001
GVHD: T S T Ạ T HỊ KIỀU AN
b. Cập nhật kế hoạch đánh giá và xử lý rủi ro.
c. Sửa đổi các thủ tục và biện pháp quản lý có ảnh hưởng cần thiết đến bảo đảm an toàn
thông tin nhằm đối phó lại với các sự kiện có thể gây tác động đến hệ thống ISMS,
bao gồm:
Các yêu cầu trong hoạt động nghiệp vụ.
Các yêu cầu an toàn bảo mật.
Các quy trình nghiệp vụ có ảnh hưởng tới các yêu cầu trong hoạt động nghiệp
vụ của tổ chức.
Các yêu cầu về pháp lý và quy định.
Các ràng buộc theo các hợp đồng đã ký kết
Mức độ rủi ro và/hoặc chỉ tiêu chấp nhận rủi ro.
d. Các nhu cầu cần thiết về tài nguyên.
e. Nâng cao phương thức đánh giá mức độ hiệu quả của các biện pháp quản lý.
1.8.
Nâng cấp ISMS:
1.8.1. Nâng cấp thường xuyên:
Tổ chức phải thường xuyên nâng cao tính hiệu lực của hệ thống ISMS thông qua việc tận
dụng chính sách đảm bảo an toàn thông tin, các mục tiêu đảm bảo an toàn thông tin, các kết quả
kiểm tra, kết quả phân tích các sự kiện đã xảy ra, các hành động ngăn ngừa và khắc phục cũng
như các kết quả soát xét của ban quản lý.
1.8.2. Hành động khắc phục:
Tổ chức phải thực hiện loại bỏ các nguyên nhân của các vi phạm với yêu cầu của hệ thống
ISMS. Các thủ tục dưới dạng văn bản để khắc phục sẽ cần phải xác định rõ các yêu cầu sau:
a. Xác định các vi phạm.
b. Tìm ra nguyên nhân của các vi phạm trên.
c. Đánh giá các hành động cần thiết nhằm ngăn chặn các vi phạm này xuất hiện trở lại.
d. Quyết định và triển khai các hành động khắc phục cần thiết.
e. Lập hồ sơ các kết quả khi thực hiện các hành động trên.
f. Soát xét lại các hành động khắc phục đã được thực hiện.
T rang 19
TIÊU CHUẨN ISO 27001
GVHD: T S T Ạ T HỊ KIỀU AN
1.8.3. Hành động phòng ngừa:
Tổ chức cần xác định các hành động để tránh các nguyên nhân gây ra các vi phạm tiềm ẩn
có thể phát sinh với hệ thống ISMS để có các biện pháp bảo vệ và phòng ngừa. Các hành động
bảo vệ và phòng ngừa cần được thực hiện phù hợp với các tác động mà các vi phạm này có thể
gây ra. Các thủ tục dưới dạng văn bản để bảo vệ, phòng ngừa cần xác định rõ các yêu cầu sau:
a. Xác định các vấn đề vi phạm tiềm ẩn và nguyên nhân gây ra chúng.
b. Đánh giá sự cần thiết của các hành động ngăn chặn các vi phạm này xuất hiện.
c. Xác định và triển khai các hành động trên.
d. Lập hồ sơ về các hành động này (xem 1.4.3.3).
e. Soát xét các hành động đã được thực hiện trên.
Tổ chức cần nhận biết các rủi ro đã thay đổi và xác định các hành động phù hợp đáp ứng lại
các thay đổi này. Mức ưu tiên của các hành động bảo vệ và phòng ngừa sẽ được xác định dựa trên
kết quả của quá trình đánh giá rủi ro.
Chú ý: Hành động nhằm ngăn chặn trước các vi phạm thường hiệu quả và kinh tế hơn là đi
khắc phục sự cố do các vi phạm gây ra.
1.9.
Triển khai tiêu chuẩn ISO 27001 cho tổ chức:
Để việc triển khai đạt được kết quả tốt nhất, tổ chức cần phải thực hiện theo các bước sau:
a. Bước 1: Khởi động dự án
Thi hành ISO 27001:2005 dưới các hình thức: ủng hộ cam kết từ lãnh đạo cấp cao, chọn và
đào tạo tất cả các thành viên của nhóm khởi động là một phần trong dự án.
b. Bước 2: Thiết lập ISMS
Nhận dạng phạm vi và giới hạn của cơ cấu quản lý an toàn thông tin là cốt lõi cho dự án.
Nghiên cứu để thiết lập yêu cầu của ISMS và sắp xếp các tài liệu an ninh đã tồn tại trong tổ chức.
c. Bước 3: Đánh giá rủi ro
Đánh giá rủi ro là thao tác cơ bản để triển khai cơ cấu quản lý an ninh thông tin.
Khảo sát các cấp độ tuân thủ với ISO 27001:2005.
Định giá tài sản để được bảo vệ và tạo thống kê tài sản.
Nhận dạng và đánh giá các mối đe dọa và những nơi dễ bị tấn công.
T rang 20
- Xem thêm -
.PDF 
47 
93 
66 
